Nombre de lecteurs : 3
Fuite chez LastPass : des hackers ont volé les données de clients, gare aux arnaques

Fuite chez LastPass : des hackers ont volé les données de clients, gare aux arnaques

LastPass a récemment subi une nouvelle fuite de données, suite à une faille de sécurité chez Klue, un prestataire de l’entreprise. Des cybercriminels ont pu accéder à des informations sur les clients du gestionnaire de mots de passe, tandis que les coffres-forts et les mots de passe restent protégés.

Le 12 juin 2026, LastPass a été informé d’un incident de sécurité survenu chez Klue, une plateforme d’intelligence commerciale intégrée aux environnements Salesforce de LastPass. Cette intégration a permis aux hackers de s’introduire dans l’infrastructure de LastPass, illustrant une attaque par chaîne d’approvisionnement.

Après enquête, LastPass a révélé que des pirates ont accédé à des jetons d’authentification détenus par Klue pour plusieurs clients, dont LastPass lui-même. Ces clés d’accès temporaires ont permis aux hackers de se connecter à l’environnement Salesforce de LastPass, où ils ont pu extraire des données clients.

Quelles données ont été volées ?

Les données exfiltrées comprennent des informations de contact professionnelles, telles que les noms, numéros de téléphone, adresses e-mail et adresses postales des clients, ainsi que des données liées aux dossiers de support client et aux interactions commerciales. Les coffres-forts des utilisateurs, contenant leurs mots de passe, n’ont pas été compromis. LastPass a affirmé que ses produits, services et infrastructure n’ont pas été touchés, et que les mots de passe demeurent chiffrés et sécurisés.

L’entreprise a informé les clients concernés par mail et a publié un communiqué sur son site officiel. LastPass a également coupé l’accès de tous ses employés à Klue et a fait pivoter les jetons de connexion dès la détection de l’incident. Une enquête approfondie a été lancée en collaboration avec Klue et Salesforce, et les autorités compétentes ont été notifiées.

Phishing ciblé

Bien que les données volées soient moins sensibles que des mots de passe, elles peuvent néanmoins être utilisées pour des campagnes de phishing ciblées ou des tentatives d’usurpation d’identité. Les cybercriminels peuvent se faire passer pour le service client de LastPass pour tenter de soutirer le mot de passe maître de la victime. LastPass rappelle que ses employés ne demanderont jamais ce mot de passe. Les clients sont donc invités à rester vigilants face à d’éventuelles tentatives d’escroquerie.

LastPass a déjà été victime de cyberattaques à deux reprises ces dernières années. En août 2022, des pirates avaient compromis l’environnement de développement de l’entreprise et volé du code source. Quelques mois plus tard, ces mêmes attaquants avaient accédé à un service de stockage cloud pour dérober des sauvegardes de coffres-forts chiffrés.

Source : LastPass

Source
Leave a Comment

Comments

No comments yet. Why don’t you start the discussion?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *