L'Information Commissioner's Office (ICO) du Royaume-Uni a infligé une amende de 1,2 million de livres sterling à LastPass UK Ltd, après avoir conclu qu'une double faille de sécurité survenue en 2022 avait conduit à une violation majeure de données exposant les informations personnelles de près de 1,6 million d'utilisateurs britanniques. Bien que le chiffrement zéro connaissance de l'entreprise ait permis de sécuriser les coffres-forts de mots de passe, les enquêteurs ont découvert que des faiblesses dans les contrôles internes avaient permis à des pirates d'accéder à des données sensibles concernant les clients, telles que les noms, les adresses e-mail, les URL et les numéros de téléphone stockés. L'autorité britannique a invité toutes les entreprises du pays à « examiner leurs propres systèmes afin de s'assurer qu'elles n'exposent pas leurs clients à des risques similaires ».LastPass est l'un des gestionnaires de mots de passe les plus utilisés au monde, comptant plus de 30 millions d'utilisateurs individuels et plus de 85 000 entreprises clientes. La version standard de LastPass est fournie avec une interface Web, mais comprend également une extension de navigateur, une application pour smartphone et la prise en charge des bookmarklets. Fondée en 2008 par quatre développeurs, LastPass a été rachetée par GoTo (anciennement LogMeIn Inc.) pour 110 millions de dollars en 2015. LastPass s'est séparée de GoTo pour devenir une entreprise indépendante en 2024.
Cette affaire s'inscrit dans le prolongement des révélations de 2022, lorsque LastPass a reconnu que des pirates informatiques ont obtenu un accès interne à son système pendant quatre jours. Initialement présentée comme un vol de codes sources et d'informations techniques, l'enquête menée par LastPass a finalement révélé des failles profondes dans les contrôles d'accès internes, mettant en lumière des insuffisances structurelles dans la gouvernance de la sécurité du gestionnaire de mots de passe.
Le 11 décembre 2025, l'Information Commissioner's Office (ICO) du Royaume-Uni a annoncé avoir infligé une amende de 1,2 million de livres sterling à LastPass UK Ltd pour ne pas avoir mis en œuvre des mesures de sécurité adéquates, ce qui a conduit à une violation majeure des données en 2022 qui a exposé les informations personnelles de près de 1,6 million de clients britanniques.
Bien que les mots de passe stockés dans les coffres-forts LastPass n'aient pas été compromis grâce à la conception du chiffrement zéro connaissance de l'entreprise, les pirates ont pu accéder à des métadonnées sensibles, notamment les noms, adresses e-mail, numéros de téléphone et URL des sites stockés.
L'enquête de l'ICO a conclu que la violation résultait de deux incidents de sécurité liés entre eux. Le premier s'est produit en août 2022, lorsqu'un pirate informatique a exploité une vulnérabilité pour accéder à l'ordinateur portable professionnel d'un développeur LastPass en Europe. Ce premier point d'ancrage a permis au pirate d'extraire des identifiants chiffrés liés à l'environnement de développement de l'entreprise.
Malgré les efforts de LastPass pour limiter les dégâts, le pirate a élargi son accès en compromettant l'appareil personnel d'un cadre supérieur aux États-Unis, qui avait accès aux clés de déchiffrement stockées dans son coffre-fort. Une vulnérabilité connue dans une application de streaming tierce a été utilisée pour installer un enregistreur de frappe sur l'appareil de la victime, contournant ainsi l'authentification multifactorielle via un cookie précédemment approuvé et capturant le mot de passe principal qui reliait les coffres-forts personnels et professionnels.
Cet accès privilégié a permis au pirate de récupérer les identifiants Amazon Web Services (AWS) et les clés de chiffrement nécessaires pour accéder au stockage de sauvegarde de LastPass. Il a ainsi pu exfiltrer de grandes quantités d'informations sur les clients, même si les coffres-forts de mots de passe chiffrés sont restés protégés.
Le service LastPass est connu pour son utilisation du chiffrement zéro connaissance, ce qui signifie que même les employés de LastPass ne peuvent pas accéder au contenu des coffres-forts des utilisateurs et que les mots de passe principaux ne sont jamais stockés sur les serveurs de l'entreprise.
Cependant, la décision de l'ICO souligne une défaillance importante dans la protection de l'accès aux systèmes hébergeant des données chiffrées. « Les gestionnaires de mots de passe sont des outils précieux, mais ils exigent le plus haut niveau de sécurité interne », a déclaré John Edwards, commissaire à l'information du Royaume-Uni, ajoutant que les entreprises traitant ce type de données doivent « revoir de toute urgence leurs systèmes et procédures ».
Au début de l'année 2023, l'entreprise a fait l'objet d'un recours collectif aux États-Unis pour négligence dans la gestion de la violation et pour avoir induit les utilisateurs en erreur quant à l'ampleur de l'incident. Le plaignant dans cette affaire a signalé le vol de clés de chiffrement privées stockées dans un coffre-fort compromis, réclamant des dommages-intérêts supérieurs à 50 000 dollars. Le recours critiquait également LastPass pour ne pas avoir immédiatement divulgué l'ampleur de la violation, retardant la communication d'informations cruciales jusqu'en décembre 2022.
« Nous collaborons avec l'ICO britannique depuis que nous lui avons signalé cet incident pour la première fois en 2022. Bien que nous soyons déçus du résultat, nous sommes heureux de constater que la décision de l'ICO reconnaît bon nombre des efforts que nous avons déjà déployés pour renforcer davantage notre plateforme et améliorer nos mesures de sécurité des données. Notre priorité reste d'offrir le meilleur service possible aux 100 000 entreprises et aux millions de consommateurs individuels qui continuent de faire confiance à LastPass », a répondu LastPass.
Annonce de l'Information Commissioner's Office
L'annonce publiée par l'Information Commissioner's Office du Royaume-Uni concernant l'amende de 1,2 million de livres sterling infligée à LastPass UK Ltd est présentée ci-dessous :
L'Information Commissioner's Office (ICO) a infligé une amende de 1,2 million de livres sterling au fournisseur de gestionnaires de mots de passe LastPass UK Ltd à la suite d'une violation de données survenue en 2022 qui a compromis les informations personnelles de près de 1,6 million de ses utilisateurs britanniques.
L'ICO a constaté que LastPass n'avait pas mis en œuvre des mesures techniques et de sécurité suffisamment robustes, ce qui a finalement permis à un pirate informatique d'accéder sans autorisation à sa base de données de sauvegarde. Rien n'indique que les pirates aient pu déchiffrer les mots de passe des clients, car ceux-ci sont stockés localement sur les appareils des clients et non par LastPass.
Les incidents se sont produits en août 2022 lorsqu'un pirate informatique a d'abord accédé à l'ordinateur portable professionnel d'un employé basé en Europe, puis à l'ordinateur portable personnel d'un employé basé aux États-Unis, sur lequel il a implanté un logiciel malveillant et a pu capturer le mot de passe principal de l'employé. Les informations combinées issues des deux incidents ont permis au pirate informatique d'accéder à la base de données de sauvegarde de LastPass et de récupérer des informations personnelles, notamment les noms, adresses e-mail, numéros de téléphone et URL de sites web enregistrés des clients.
« Les gestionnaires de mots de passe sont un outil sûr et efficace pour les entreprises et le public afin de gérer leurs nombreux identifiants de connexion, et nous continuons à encourager leur utilisation. Cependant, comme le montre clairement cet incident, les entreprises qui proposent ces services doivent s'assurer que l'accès au système et son utilisation sont restreints afin de réduire considérablement les risques d'attaque », a déclaré John Edwards, commissaire à l'information du Royaume-Uni. « Les clients de LastPass étaient en droit d'attendre que les informations personnelles qu'ils confiaient à l'entreprise soient conservées en toute sécurité. Cependant, l'entreprise n'a pas répondu à cette attente, ce qui a conduit à l'annonce aujourd'hui d'une amende proportionnée. »
« J'invite toutes les entreprises britanniques à prendre note des conclusions de cette enquête et à revoir de toute urgence leurs propres systèmes et procédures afin de s'assurer, dans la mesure du possible, qu'elles n'exposent pas leurs clients et elles-mêmes à des risques similaires », a-t-il ajouté.
Détails des deux incidents
Premier incident
- Un pirate informatique a compromis l'ordinateur portable professionnel d'un employé de LastPass et a accédé à l'environnement de développement de l'entreprise.
- Aucune information personnelle n'a été dérobée, mais les identifiants chiffrés de l'entreprise ont été volés. S'ils étaient déchiffrés, ils permettraient d'accéder à la base de données de sauvegarde de l'entreprise.
- LastPass a pris des mesures pour limiter l'impact de l'activité du pirate informatique et estime que les clés de chiffrement sont restées en sécurité, car elles étaient stockées hors de la zone accessible par le pirate informatique, dans les coffres-forts de quatre cadres supérieurs.
Deuxième incident
[LIST][*] Le pirate informatique a ensuite ciblé l'un des employés seniors qui avait accès aux clés de déchiffrement, en accédant à son appareil personnel via une vulnérabilité connue dans un service de streaming tiers.[*] Un enregistreur de frappe a été installé pour capturer le mot de passe principal de l'employé et l'authentification multifactorielle a été contournée à l'aide d'un cookie de dispositif approuvé.[*] Le pirate a ensuite accédé aux coffres-forts LastPass personnels et professionnels de l'employé,...[/*]
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.