LastPass a reconnu un incident de sécurité sur une plateforme de cloud qu’il utilise. Des informations liées à ses clients ont été exposées, mais les mots de passe demeurent en sécurité.

C’est un incident que LastPass ne qualifie pas de particulièrement critique, dans la mesure où les mots de passe ne sont pas exposés. Il n’empêche que le gestionnaire de mots de passe a été la victime d’un problème de sécurité le 30 novembre 2022, qui a exposé certaines données personnelles d’une partie de sa clientèle.

LastPass est l’un des principaux gestionnaires de mots de passe sur le marché. À ses côtés, on trouve également Dashlane, KeePass, 1Password et BitWarden.

La nature des informations mises à mal n’est pas précisée aujourd’hui par LastPass, dans la mesure où la société est toujours en phase d’investigation sur la portée de la compromission. Elle a à cette occasion fait appel à Mandiant, une entreprise américaine de cybersécurité, rachetée début 2022 par Google.

Les données exposées pourraient inclure des éléments permettant d’identifier des clients du logiciel et de connaître notamment leur adresse de courrier électronique. Cette dernière est typiquement le genre d’élément qui permet de conduire des campagnes d’hameçonnage (phishing) pour piéger des particuliers.

Source : LastPass
L’essentiel est sauf, selon LastPass. // Source : LastPass

Un gestionnaire de mot de passe sert littéralement de coffre virtuel pour stocker les mots de passe et les notes sensibles dans un espace sécurisé. Ils sont considérés comme une meilleure alternative à la mémorisation, qui empêche d’utiliser des codes très différents d’un site à l’autre, ce qui est pourtant une bonne pratique en matière de sécurité informatique.

Un souci détecté dans le cloud

C’est par un service de stockage tiers spécialisé dans le cloud — service qui n’est pas nommé — que le souci s’est matérialisé. LastPass indique avoir détecté une activité inhabituelle sur cette plateforme, qu’utilise LastPass. Ce dernier ajoute que les responsables de l’attaque ont exploité une précédente vulnérabilité survenue en août 2022 — toujours sur LastPass.

Les mots de passe, eux, ne sont pas en cause. LastPass explique que les codes de ses clients sont toujours stockés de manière sécurisée, avec une protection chiffrée par-dessus. Cela tient au fait que LastPass utilise une architecture dite de « Zero Knowledge », une approche que d’autres gestionnaires utilisent aussi, à l’image de Dashlane et 1Password, signe de sa pertinence.

Malgré tout, l’incident subi par LastPass est de nature à nourrir une défiance vis-à-vis de ces logiciels. Cela risque de ternir leur image auprès du grand public alors même que l’essentiel — les mots de passe — n’est a priori pas en danger. Pourtant, la balance des bénéfices / risques de ces logiciels demeure favorable, même si un incident (qui est ici sans lourde conséquence) peut occasionnellement survenir.


Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !