LastPass est de nouveau visé par les hackers. Le 12 juin 2026, le gestionnaire de mots de passe a été informé d’un incident de sécurité survenu chez l’un de ses prestataires. Il s’agit de Klue, une plateforme d’intelligence commerciale utilisée par les équipes marketing et commerciales de LastPass. Parfaitement intégrée aux environnements Salesforce de LastPass, la plateforme a ouvert la porte de l’infrastructure à des cybercriminels. Comme vous l’aurez compris, il s’agit à nouveau d’une attaque par chaîne d’approvisionnement. Dans ce type d’offensive, les pirates s’en prennent à l’un des maillons faibles de la chaîne, pour parvenir, de fil en aiguille, à s’introduire dans le système de leur cible finale.
Après enquête, LastPass a découvert que des pirates sont parvenus à mettre la main sur des jetons d’authentification détenus par Klue pour le compte de plusieurs de ses clients, dont lui-même. Avec ces clés d’accès temporaires, les hackers ont pu se connecter à l’environnement Salesforce de LastPass. Dans les serveurs, ils ont rapidement déniché des données clients.
À lire aussi : Alerte LastPass – une arnaque par mail vise les clients du gestionnaire de mots de passe
Quelles données ont été volées ?
Parmi les données exfiltrées, on trouve des informations de contact professionnelles, soit les noms, numéros de téléphone, adresses e-mail et adresses postales des clients, ainsi que des données liées aux dossiers de support client et aux interactions commerciales. Par contre, les coffres-forts des utilisateurs, contenant tous leurs mots de passe, n’ont pas été compromis. LastPass précise bien que ses produits, ses services et son infrastructure n’ont pas été touchés. Les mots de passe restent chiffrés et sécurisés, en dépit de l’intrusion.
Le gestionnaire de mots de passe a prévenu les clients concernés par mail. En parallèle, un communiqué détaillé a été publié sur le site officiel de LastPass. L’entreprise indique avoir coupé l’accès de tous ses employés à Klue, et fait pivoter les jetons de connexion, dès que l’incident a été détecté. Ensuite, LastPass a lancé une enquête approfondie en collaboration avec Klue et Salesforce. L’entreprise a également notifié les autorités compétentes de la cyberattaque.
Phishing ciblé
Les données volées sont moins critiques que des mots de passe, mais elles ne sont pas anodines pour autant. En exploitant les informations dérobées, des cybercriminels peuvent orchestrer des campagnes de phishing ciblées ou des tentatives d’usurpation d’identité. Par exemple, l’attaquant peut se faire passer pour le service client de LastPass pour tenter de soutirer le mot de passe maître de la victime, et ainsi, voler tous ses mots de passe. LastPass rappelle qu’aucun employé ne vous demandera jamais votre mot de passe maître. Si vous recevez un appel, un e-mail ou un message qui va dans ce sens, il s’agit vraisemblablement d’une tentative d’escroquerie. LastPass recommande à ses clients de rester vigilants.
Pour rappel, la société avait déjà été frappée à deux reprises par des cybercriminels ces dernières années. En août 2022, des pirates avaient compromis l’environnement de développement de LastPass et volé du code source. Quelques mois plus tard, ces mêmes attaquants ont utilisé les accès récupérés pour pénétrer dans un service de stockage cloud et y dérober des sauvegardes de coffres-forts chiffrés.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source : LastPass
