Selon LastPass, aucun coffre-fort de mots de passe ni mot de passe principal n’a été compromis. Toutefois, les informations divulguées pourraient aider des cybercriminels à rédiger des e-mails, passer des appels téléphoniques ou envoyer des messages crédibles se faisant passer pour des communications officielles de LastPass.
L’incident s’est produit chez Klue, une plateforme externe utilisée par LastPass pour ses études de marché et ses intégrations avec, entre autres, Salesforce et Gong. Les pirates ont mis la main sur des jetons OAuth : des clés d’accès numériques permettant à Klue d’échanger des données entre différents services. Grâce à ces jetons, ils ont ensuite pu consulter les informations clients issues de l’environnement Salesforce de LastPass.
Quelles données ont fait l’objet d’une fuite ?
Selon LastPass, les données volées comprennent les noms, adresses e-mail, numéros de téléphone et adresses postales des clients. Des informations issues des tickets d’assistance et des dossiers commerciaux auraient également été consultées. Cela semble moins grave qu’une fuite de mots de passe, mais il s’agit tout de même d’informations sensibles. Quiconque sait que vous utilisez LastPass peut, par exemple, vous envoyer un e-mail de hameçonnage convaincant vous demandant de confirmer votre compte, de définir un nouveau mot de passe ou de consulter une prétendue alerte de sécurité. La fraude téléphonique est également une menace évidente lorsque les pirates disposent de votre nom, de votre numéro de téléphone et de votre adresse e-mail.
LastPass indique avoir suspendu tout accès de ses employés à Klue, renouvelé les jetons OAuth concernés et lancé une enquête en collaboration avec Klue et Salesforce. Les services de police ont également été informés. Klue a découvert la intrusion le 12 juin et cherche toujours à déterminer comment les pirates ont pu y accéder. Cette attaque n’a pas seulement touché LastPass. Des entreprises telles que Gong, Jamf, HackerOne, OneTrust, Recorded Future, Snyk, Sprout Social et Tanium seraient également concernées. Le groupe de chantage Icarus revendique cette attaque et menace de rendre publiques les données dérobées si Klue ne paie pas.
Comment protéger votre compte et vos données
Pour les utilisateurs de LastPass, rien n’indique pour l’instant que leurs mots de passe enregistrés aient été piratés. Il est toutefois recommandé de redoubler de prudence, d’autant plus que LastPass a déjà fait plusieurs fois l’objet d’une couverture médiatique négative en raison d’incidents de sécurité.
Cette fuite de données semble moins grave que les incidents précédents survenus chez LastPass, car les coffres-forts de mots de passe n’ont pas été touchés. Il y a toutefois de fortes chances que les clients concernés soient confrontés à davantage de tentatives de phishing ciblées dans les semaines à venir. En restant vigilant et en veillant à ce que sa sécurité soit optimale, chacun peut réduire considérablement ce risque.
