LastPass est un nom bien connu et fiable en matière de sécurité des mots de passe, mais son historique de violations pourrait vous inciter à envisager une alternative.

Points clés à retenir

  • LastPass a connu plusieurs violations de données dans le passé, dont une en 2015 qui a exposé les e-mails des utilisateurs et les mots de passe principaux. Cependant, la majorité des utilisateurs ayant utilisé des couches de sécurité supplémentaires étaient probablement à l’abri de la faille.
  • LastPass a fait l'objet de critiques en 2021 lorsqu'il a été découvert que son application Android contenait des trackers tiers, soulevant des inquiétudes en matière de sécurité. LastPass a répondu en déclarant que les trackers étaient utilisés pour la télémétrie des applications et pouvaient être désactivés par les utilisateurs.
  • LastPass a connu une violation importante en 2022, où les attaquants ont accédé aux données des clients et aux informations du coffre-fort des utilisateurs. Cette violation a entraîné d'autres conséquences pour LastPass et sa société mère, GoTo, notamment le vol de sauvegardes cryptées et la preuve d'une clé de cryptage consultée.
    instagram viewer
  • Dans l’ensemble, même si LastPass est généralement considéré comme sûr, les multiples violations et incidents de sécurité ont conduit certains utilisateurs à rechercher des gestionnaires de mots de passe alternatifs qui n’ont pas été compromis.

Beaucoup d'entre nous utilisent des gestionnaires de mots de passe pour protéger nos données privées, LastPass étant l'une des options les plus populaires. Mais LastPass a subi son lot de violations de données, mettant en danger les informations sensibles des clients.

Alors, combien de fois LastPass a-t-il été piraté et son utilisation est-elle toujours sûre ?

1. Violation de LastPass 2015

Crédit d'image: Ervins Strauhmanis/Flickr

Le premier piratage de LastPass a eu lieu en juin 2015, sept ans après la création de l'entreprise. Cette grave violation a exposé les e-mails et les mots de passe principaux des utilisateurs de LastPass, ainsi que les mots d'indice ou de rappel utilisés pour mémoriser les mots de passe principaux. Le piratage a été remarqué lorsque LastPass a détecté une activité réseau suspecte, qui a été rapidement bloquée. Cependant, certains dégâts avaient déjà été causés.

Dans un note désormais expirée aux clients (disponible via Internet Archive), LastPass a informé les utilisateurs que ceux qui utilisaient des couches de sécurité supplémentaires comme le hachage et le salage de leurs mots de passe étaient probablement à l'abri du piratage. Heureusement, la majorité des utilisateurs de LastPass utilisent ces méthodes de sécurité, ce qui signifie que seule une petite partie des clients risquait d'être affectée.

LastPass a également déclaré qu'il ne pensait pas qu'aucun compte d'utilisateur ait été consulté en raison de l'attaque, mais a exhorté les utilisateurs peuvent vérifier leurs adresses e-mail et renouveler chaque semaine ou ont utilisé à plusieurs reprises des mots de passe principaux pour booster sécurité.

Quelques semaines après le hack, LastPass a publié un article de blog déclarant que sa sécurité s'est améliorée depuis le piratage, avec une série de changements petits et grands apportés pour protéger davantage les clients. Ces changements comprenaient l'introduction de modules de sécurité matérielle (HSM), qui protègent l'infrastructure cryptographique de LastPass.

2. Incident de suivi de LastPass 2021

Bien que LastPass n’ait pas été piraté en 2021, il a rencontré des problèmes lorsqu’il a été découvert que son application Android contenait des trackers tiers. En février 2021, une application d’analyse de sécurité nommée Exodus Privacy a révélé avoir trouvé sept trackers dans l’application LastPass Android, suscitant les soupçons des utilisateurs. Le chercheur en sécurité Mike Kuketz a commenté la découverte dans un Article de blog Kuketz sur la sécurité informatique, déclarant qu '"il est totalement hors de question d'intégrer [des publicités et des trackers] dans les applications de gestion de mots de passe".

Kuketz a également répertorié les sept trackers trouvés dans l'application LastPass Android, qui comprenaient des trackers de Google Analytics, Segment et AppsFlyer. Accorder ainsi l'accès aux plateformes d'analyse marketing a été condamné par Kuketz, qui a écrit que l'approche de LastPass est « extrêmement discutable en termes de sécurité ».

Kuketz a souligné que l'application LastPass Android devait être vérifiée manuellement pour déterminer si les trackers surveillaient activement les utilisateurs. Cependant, Kuketz a noté que la seule présence des trackers était une mauvaise pratique pour une application qui doit donner la priorité à la sécurité.

En réponse à cette critique, Utilisateurs informés de LastPass qu'il utilise des outils d'analyse. LastPass a souligné que cela avait été fait pour obtenir des informations sur « les données de télémétrie des applications, de rapports d'erreurs et de crashs, ainsi que informations statistiques d'utilisation de haut niveau pour, à terme, améliorer les performances globales, la fiabilité et la convivialité de [le application]."

Il a également été indiqué que l'élément analytique de l'application LastPass était une fonctionnalité facultative que les utilisateurs pouvaient désactiver dans leurs paramètres avancés. Mais indépendamment de cela, la présence de trackers dans l’application LastPass pour Android a laissé un mauvais goût dans la bouche des analystes de sécurité et des utilisateurs.

3. Violations de LastPass 2022

Il a fallu un certain temps à LastPass pour se heurter à une autre cyberattaque après l’incident initial de 2015. Mais en 2022, une autre attaque a bel et bien eu lieu. Ce fut une année particulièrement difficile pour LastPass, avec un premier piratage en août provoquant une onde de choc qui se poursuivra jusqu'en 2023.

Début août 2022, LastPass a pris connaissance d'une faille dans laquelle un pirate informatique avait compromis l'ordinateur portable d'un développeur LastPass pour voler le code source et accéder à la plateforme de développement cloud de l'entreprise. Le pirate informatique a contourné la sécurité de l'authentification multifactorielle sur le compte de l'ingénieur en s'authentifiant avec succès en tant qu'utilisateur. Bien qu'il s'agisse d'un incident très préoccupant, le pirate informatique n'a récupéré aucune information client.

Mais quelques mois plus tard, les choses ont empiré. En décembre 2022, LastPass a annoncé que le piratage du mois d’août avait permis aux attaquants d’accéder à des zones plus sensibles de son infrastructure, exploitées pour la première fois en novembre. Cette fois, des pirates ont accédé aux données des clients LastPass, y compris les adresses e-mail et IP, les numéros de téléphone et les noms. En plus de cela, certains types de données du coffre-fort des utilisateurs ont été exposés, notamment les noms d’utilisateur et les mots de passe stockés pour les comptes en ligne.

Inutile de dire que LastPass était désormais dans une situation très chaude et que les choses ne s’arrêteraient pas en 2023.

Les séquelles de 2023

Bien que 2023 n’ait pas apporté de nouveaux hacks pour LastPass, elle a apporté de plus en plus d’informations troublantes sur les exploits de 2022.

En janvier 2023, la société mère de LastPass, GoTo, a publié une déclaration sur les conséquences des piratages de 2022. Déclaration de GoTo a expliqué que plusieurs autres services de l'entreprise, notamment Central, Hamachi, Pro, join.me et RemotelyAnywhere, ont également été ciblés par des attaquants via un périphérique de stockage cloud tiers. Depuis cet appareil, les attaquants ont volé des sauvegardes cryptées. De plus, GoTo a révélé avoir trouvé des preuves suggérant qu'une clé de cryptage pour certaines des sauvegardes volées avait également été consultée.

En février 2023, LastPass a de nouveau fait la une des journaux lorsqu'il a été révélé qu'entre le premier et le deuxième piratage de 2022, davantage d'actions malveillantes avaient été entreprises par des attaquants.

Comme documenté dans le post X ci-dessus, les hackers de novembre 2022 a compromis l'ordinateur personnel d'un développeur senior de LastPass via une vulnérabilité de support logiciel. Après avoir piraté l'ordinateur, les pirates ont installé un enregistreur de frappe, leur permettant de visualiser ce que le développeur tapait sur son clavier.

Cela a permis aux attaquants d'accéder au mot de passe principal du coffre-fort d'entreprise LastPass du développeur, leur permettant ainsi d'accéder au coffre-fort lui-même. Ce qui est choquant ici, c'est que seuls quatre développeurs seniors de LastPass avaient accès au coffre-fort de l'entreprise, et les attaquants ont quand même réussi à cibler l'un de ces développeurs.

Les pirates ont également utilisé les informations d’identification des utilisateurs volées en 2022 pour voler 4,4 millions de dollars en cryptomonnaie en octobre 2023. On pense que les attaquants ont accédé aux phrases et clés de départ du portefeuille cryptographique lors de la deuxième violation de 2022, leur permettant de pirater les portefeuilles et de retirer la cryptographie à l’adresse souhaitée.

LastPass a un liste complète des données consultées lors des hacks 2022 si vous souhaitez voir tout ce qui a été exposé à cause des incidents de 2022.

L’utilisation de LastPass est-elle toujours sûre?

Bien que LastPass soit en service depuis 2008, la plupart de ses violations de données et incidents de sécurité se sont produits dans les années 2020. Compte tenu de ses multiples problèmes de sécurité passés, il est naturel de se sentir un peu nerveux à l'idée d'utiliser LastPass, alors quel est le verdict ici? L’utilisation de LastPass est-elle sûre ou devriez-vous opter pour autre chose ?

Bien qu'il soit plus sûr d'utiliser LastPass qu'une simple application de notes ou une option de stockage similaire, il existe peut-être de meilleurs gestionnaires de mots de passe aujourd'hui. Avec autant de failles dans son dossier de sécurité, LastPass est devenu un incontournable pour beaucoup, car on ne sait pas quand une autre violation se produira. Alors que 2022 pose tant de problèmes à LastPass et à ses utilisateurs, il n'est pas surprenant que certains utilisateurs aient quitté le navire, optant pour des gestionnaires de mots de passe qui n'ont pas encore été piratés.

Dashlane et NordPass ne sont que deux exemples de gestionnaires de mots de passe très réputés qui n'ont jamais subi de faille de sécurité. il est donc certainement possible de trouver un gestionnaire de mots de passe dont les données clients ou les portails des employés n'ont pas été exposés. les pirates.

Si vous utilisez actuellement LastPass mais souhaitez aller ailleurs, consultez notre guide sur supprimer votre compte LastPass. Nous avons également un guide pratique sur le gestionnaires de mots de passe les plus sûrs si vous avez besoin d'aide pour choisir un remplaçant.

Cependant, les incidents de sécurité de LastPass n'en font pas un gestionnaire de mots de passe dangereux. L'application dispose toujours de nombreuses fonctionnalités utiles pour protéger les informations d'identification sensibles et est facile à utiliser, quelle que soit la maîtrise de la technologie.

LastPass n'est pas le roi de la gestion des mots de passe

Il n'y a rien de mal en soi à utiliser LastPass pour stocker des mots de passe, car l'application est généralement assez sûre. Cependant, il convient de noter les alternatives ultra sécurisées disponibles si vous souhaitez garantir que vos informations sensibles sont stockées aussi efficacement que possible.