LastPass a prévenu ses clients d'une nouvelle fuite de données, la troisième en dix ans. Cette fois les coffres de mots de passe restent intacts, mais des noms, numéros de téléphone, e-mails et adresses postales sont partis dans la nature, à cause d'une faille chez un prestataire. Le groupe Icarus, qui revendique l'attaque, menace déjà de tout publier.
Une faille chez un prestataire
Le gestionnaire de mots de passe a découvert l'incident le 12 juin et notifié ses utilisateurs le 23 juin, en pointant non pas ses serveurs mais Klue, une plateforme d'intelligence économique utilisée par ses commerciaux et branchée sur Salesforce et Gong. Les pirates ont récupéré des informations de contact classiques mais sensibles une fois recoupées, à savoir noms, numéros de téléphone, adresses e-mail et physiques, plus des tickets d'assistance et des éléments de vente stockés dans le CRM. LastPass insiste sur ce qui rassure vraiment, c'est que ses produits, son infrastructure et surtout les coffres chiffrés des utilisateurs n'ont pas été touchés, et que les mots de passe maîtres restent hors de portée.
Le groupe Icarus réclame une rançon
Le groupe d'extorsion Icarus a revendiqué le vol et prévenu qu'il diffuserait les données si aucune rançon n'était versée, le grand classique du chantage moderne. LastPass est loin d'être seul, puisque la même faille chez Klue a aussi atteint HackerOne, Recorded Future et Tanium, une brochette d'entreprises de cybersécurité qui s'allonge de semaine en semaine, ce qui ne manque pas d'ironie quand on vend de la protection. L'éditeur dit avoir coupé l'accès de ses employés à Klue, fait tourner les jetons API et OAuth exposés, prévenu les autorités et transmis les adresses IP et domaines des pirates. Si vous utilisez LastPass, restez sur ses gardes face à l'hameçonnage, parce qu'avec un nom collé à une adresse et un numéro, un faux mail de support devient bien plus crédible.
Pas une première
Difficile de regarder cette fuite sans repenser au reste, parce que LastPass, qui revendique 33 millions d'utilisateurs et 1,6 million de clients payants, traîne déjà quelques problèmes. En 2015, c'étaient des données d'authentification qui ont filé dans la nature, et en 2022 les pirates avaient carrément récupéré l'intégralité des coffres chiffrés des clients, une catastrophe qui a ensuite servi à siphonner des cryptomonnaies en forçant les mots de passe maîtres.
On en dit quoi ?
Que vos coffres soient saufs, tant mieux, mais voir un gestionnaire de mots de passe se faire vider ses fichiers clients pour la troisième fois en dix ans, ça commence à faire beaucoup. Le maillon faible, cette fois, c'est un outil marketing tiers que personne n'avait sur son radar, et le problème n'est même plus vraiment technique. Reste que quand on confie ses secrets les plus sensibles à une société, on aimerait qu'elle soit irréprochable partout, et là LastPass enchaîne les incidents.
