Le gestionnaire de mots de passe LastPass a été victime d’une faille de sécurité en août dernier, qui s’est traduite par le vol du code source et d’autres informations exclusives, mais pas d’informations sur les comptes. Aujourd’hui, une nouvelle brèche a été ouverte, et cette fois, des données d’utilisateurs ont été volées.
LastPass a annoncé ce nouveau problème de sécurité dans un billet de blog, précisant qu’il était possible d’utiliser les informations obtenues lors du piratage d’août. La société a expliqué : « nous avons déterminé qu’une partie non autorisée, utilisant les informations obtenues lors de l’incident du 20 août, a pu accéder à certains éléments d’information de nos clients. Les mots de passe de nos clients restent chiffrés en toute sécurité grâce à l’architecture Zero Knowledge de LastPass. »
LastPass vient d’avoir une faille de sécurité
LastPass n’a pas dit exactement quels « certains éléments » des informations des clients ont été consultés. Les mots de passe (prétendument) n’ont pas été consultés, ce qui laisse les adresses e-mail, les informations de paiement, ou autre chose. L’enquête de la société est toujours en cours.
C’est une bonne chose de voir LastPass faire preuve de transparence en cas de faille de sécurité – de nombreuses entreprises se contentent de garder les incidents de sécurité sous silence aussi longtemps qu’elles le peuvent – mais ce n’est pas une bonne chose qu’un gestionnaire de mots de passe ait été piraté deux fois en l’espace de quelques mois. Il y a également eu une fuite présumée en décembre 2021, au cours de laquelle certaines personnes ont tenté de se connecter sans autorisation en utilisant un mot de passe principal volé, mais LastPass a expliqué qu’il s’agissait d’une attaque par bourrage de crdential visant les personnes qui réutilisaient des mots de passe.