L'Information Commissioner's Office (ICO) du Royaume-Uni a infligé une amende de 1,2 million de livres sterling à LastPass UK Ltd, après avoir conclu qu'une double faille de sécurité survenue en 2022 avait conduit à une violation majeure de données exposant les informations personnelles de près de 1,6 million d'utilisateurs britanniques. Bien que le chiffrement zéro connaissance de l'entreprise ait permis de sécuriser les coffres-forts de mots de passe, les enquêteurs ont découvert que des faiblesses dans les contrôles internes avaient permis à des pirates d'accéder à des données sensibles concernant les clients, telles que les noms, les adresses e-mail, les URL et les numéros de téléphone stockés. L'autorité britannique a invité toutes les entreprises du pays à « examiner leurs propres systèmes afin de s'assurer qu'elles n'exposent pas leurs clients à des risques similaires ».LastPass est l'un des gestionnaires de mots de passe les plus utilisés au monde, comptant plus de 30 millions d'utilisateurs individuels et plus de 85 000 entreprises clientes. La version standard de LastPass est fournie avec une interface Web, mais comprend également une extension de navigateur, une application pour smartphone et la prise en charge des bookmarklets. Fondée en 2008 par quatre développeurs, LastPass a été rachetée par GoTo (anciennement LogMeIn Inc.) pour 110 millions de dollars en 2015. LastPass s'est séparée de GoTo pour devenir une entreprise indépendante en 2024.
Cette affaire s'inscrit dans le prolongement des révélations de 2022, lorsque LastPass a reconnu que des pirates informatiques ont obtenu un accès interne à son système pendant quatre jours. Initialement présentée comme un vol de codes sources et d'informations techniques, l'enquête menée par LastPass a finalement révélé des failles profondes dans les contrôles d'accès internes, mettant en lumière des insuffisances structurelles dans la gouvernance de la sécurité du gestionnaire de mots de passe.
Le 11 décembre 2025, l'Information Commissioner's Office (ICO) du Royaume-Uni a annoncé avoir infligé une amende de 1,2 million de livres sterling à LastPass UK Ltd pour ne pas avoir mis en œuvre des mesures de sécurité adéquates, ce qui a conduit à une violation majeure des données en 2022 qui a exposé les informations personnelles de près de 1,6 million de clients britanniques.
Bien que les mots de passe stockés dans les coffres-forts LastPass n'aient pas été compromis grâce à la conception du chiffrement zéro connaissance de l'entreprise, les pirates ont pu accéder à des métadonnées sensibles, notamment les noms, adresses e-mail, numéros de téléphone et URL des sites stockés.
L'enquête de l'ICO a conclu que la violation résultait de deux incidents de sécurité liés entre eux. Le premier s'est produit en août 2022, lorsqu'un pirate informatique a exploité une vulnérabilité pour accéder à l'ordinateur portable professionnel d'un développeur LastPass en Europe. Ce premier point d'ancrage a permis au pirate d'extraire des identifiants chiffrés liés à l'environnement de développement de l'entreprise.
Malgré les efforts de LastPass pour limiter les dégâts, le pirate a élargi son accès en compromettant l'appareil personnel d'un cadre supérieur aux États-Unis, qui avait accès aux clés de déchiffrement stockées dans son coffre-fort. Une vulnérabilité connue dans une application de streaming tierce a été utilisée pour installer un enregistreur de frappe sur l'appareil de la victime, contournant ainsi l'authentification multifactorielle via un cookie précédemment approuvé et capturant le mot de passe principal qui reliait les coffres-forts personnels et professionnels.
Cet accès privilégié a permis au pirate de récupérer les identifiants Amazon Web Services (AWS) et les clés de chiffrement nécessaires pour accéder au stockage de sauvegarde de LastPass. Il a ainsi pu exfiltrer de grandes quantités d'informations sur les clients, même si les coffres-forts de mots de passe chiffrés sont restés protégés.
Le service LastPass est connu pour son utilisation du chiffrement zéro connaissance, ce qui signifie que même les employés de LastPass ne peuvent pas accéder au contenu des coffres-forts des utilisateurs et que les mots de passe principaux ne sont jamais stockés sur les serveurs de l'entreprise.
Cependant, la décision de l'ICO souligne une défaillance importante dans la protection de l'accès aux systèmes hébergeant des données chiffrées. « Les gestionnaires de mots de passe sont des outils précieux, mais ils exigent le plus haut niveau de sécurité interne », a déclaré John Edwards, commissaire à l'information du Royaume-Uni, ajoutant que les entreprises traitant ce type de données doivent « revoir de toute urgence leurs systèmes et procédures ».
Au début de l'année 2023, l'entreprise a fait l'objet d'un recours collectif aux États-Unis pour négligence dans la gestion de la violation et pour avoir induit les utilisateurs en erreur quant à l'ampleur de l'incident. Le plaignant dans cette affaire a signalé le vol de clés de chiffrement privées stockées dans un coffre-fort compromis, réclamant des dommages-intérêts supérieurs à 50 000 dollars. Le recours critiquait également LastPass pour ne pas avoir immédiatement divulgué l'ampleur de la violation, retardant la communication d'informations cruciales jusqu'en décembre 2022.
« Nous collaborons avec l'ICO britannique depuis que nous lui avons signalé cet incident pour la première fois en 2022. Bien que nous soyons déçus du résultat, nous sommes heureux de constater que la décision de l...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.