Les données des utilisateurs du gestionnaire de mots de passe LastPass ont de nouveau été volées
Posté : jeu. 25 juin 2026 07:41
Les données des utilisateurs du gestionnaire de mots de passe LastPass ont de nouveau été volées par des pirates informatiques
Notamment des informations sur les noms, les numéros de téléphone et les e-mails
LastPass a révélé une nouvelle fuite de données résultant d’un incident de sécurité chez Klue, un fournisseur tiers d’informations sur le marché intégré aux plateformes Salesforce et Gong de LastPass. L’incident, qui s’est produit début juin, a touché plusieurs entreprises, dont LastPass. À ce stade, les données consultées se limitaient aux coordonnées professionnelles et aux enregistrements de base de gestion de la relation client, tels que les noms des clients, leurs numéros de téléphone, leurs adresses e-mail, leurs adresses postales, ainsi que des informations relatives aux dossiers d’assistance et de vente. Un jour de plus, une nouvelle fuite de données pour le célèbre gestionnaire de mots de passe.
LastPass est une application de gestion de mots de passe. La version standard de LastPass est dotée d’une interface web, mais comprend également une extension de navigateur, une application mobile et la prise en charge des bookmarklets. Fondé en 2008 par quatre développeurs, LastPass a été racheté par GoTo (anciennement LogMeIn Inc.) pour 110 millions de dollars en 2015. LastPass s'est séparé de GoTo pour devenir une entreprise indépendante en 2024.
LastPass est connu pour avoir subi d’importants incidents de sécurité entre 2011 et 2022. Notamment, fin 2022, des données d’utilisateurs, des informations de facturation et des coffres-forts (certains champs étant chiffrés et d’autres non) ont été compromis, ce qui a conduit de nombreux professionnels de la sécurité à recommander aux utilisateurs de changer tous leurs mots de passe et de se tourner vers d’autres gestionnaires de mots de passe.
En décembre 2025, l'Information Commissioner's Office (ICO) du Royaume-Uni a infligé une amende de 1,2 million de livres sterling à LastPass UK Ltd, après avoir conclu qu'une double faille de sécurité survenue en 2022 avait conduit à une violation majeure de données exposant les informations personnelles de près de 1,6 million d'utilisateurs britanniques. Bien que le chiffrement zéro connaissance de l'entreprise ait permis de sécuriser les coffres-forts de mots de passe, les enquêteurs ont découvert que des faiblesses dans les contrôles internes avaient permis à des pirates d'accéder à des données sensibles concernant les clients, telles que les noms, les adresses e-mail, les URL et les numéros de téléphone stockés. L'autorité britannique a invité toutes les entreprises du pays à « examiner leurs propres systèmes afin de s'assurer qu'elles n'exposent pas leurs clients à des risques similaires ».
Un jour de plus, une nouvelle fuite de données pour le célèbre gestionnaire de mots de passe. Récemment, LastPass a révélé une nouvelle fuite de données résultant d’un incident de sécurité chez Klue, un fournisseur tiers d’informations sur le marché intégré aux plateformes Salesforce et Gong de LastPass. L’incident, qui s’est produit début juin, a touché plusieurs entreprises, dont LastPass. Au cours de son enquête, LastPass a découvert qu’une partie non autorisée avait obtenu des jetons d’autorisation OAuth gérés par Klue pour plusieurs clients. À l’aide de ces jetons, l’acteur malveillant a pu accéder aux données clients que LastPass conservait au sein de son environnement Salesforce.
À ce stade, les données consultées se limitaient aux coordonnées professionnelles et aux enregistrements de base de gestion de la relation client, tels que les noms des clients, leurs numéros de téléphone, leurs adresses e-mail, leurs adresses postales, ainsi que des informations relatives aux dossiers d’assistance et de vente. LastPass a déclaré qu’aucun élément n’indiquait que les coffres-forts des clients, les principaux produits de l’entreprise ou son infrastructure aient été affectés. De plus, aucune donnée liée à Gong n’a été consultée lors de cette violation.
Dès qu’elle en a été informée, LastPass a mis en œuvre ses mesures correctives, notamment en renouvelant tous les jetons OAuth Klue exposés et en restreignant tout nouvel accès. À la suite de ces mesures, LastPass conseille à ses clients de rester vigilants face à d’éventuelles tentatives d’hameçonnage ou d’ingénierie sociale qui pourraient utiliser les coordonnées divulguées.
Depuis l'incident de sécurité de 2022, une question se posait : Est-il recommandé d'abandonner LastPass au profit d'une autre application de gestion de mots de passe ? Pour Jeremi Gosney, chercheur en sécurité, il faut s'éloigner du gestionnaire « en raison de sa longue histoire d'incompétence ». Même s'il avait l'habitude de défendre LastPass, il a déclaré : « Ces dernières années, je me suis retrouvé incapable de défendre LastPass. Je ne me souviens pas s'il y a eu une faille particulière qui a fait déborder le vase, mais je sais que j'ai cessé de le recommander en 2017 et que j'ai totalement effectué la migration en 2019. » Il affirme notamment que l'affirmation de LastPass de "zéro connaissance" est un mensonge éhonté, et que LastPass a l'habitude d'ignorer les chercheurs en sécurité et les rapports de vulnérabilités.
Cette nouvelle révélation rappelle un rapport de février 2026. Des chercheurs de l'ETH Zurich et de l'Università della Svizzera italiana ont notamment révélé 27 vulnérabilités dans quatre gestionnaires de mots de passe basés sur le cloud largement utilisés qui pourraient permettre à des pirates d'accéder aux coffres-forts contenant les identifiants ou de modifier les mots de passe stockés. Les produits concernés et le nombre de scénarios d'attaque identifiés dans la recherche comprennent Bitwarden, LastPass, Dashlane et 1Password. Les vulnérabilités sont regroupées en quatre domaines principaux : le dépôt de clés, le chiffrement des coffres-forts, le partage et la rétrocompatibilité.
merci à Developpez.com
Notamment des informations sur les noms, les numéros de téléphone et les e-mails
LastPass a révélé une nouvelle fuite de données résultant d’un incident de sécurité chez Klue, un fournisseur tiers d’informations sur le marché intégré aux plateformes Salesforce et Gong de LastPass. L’incident, qui s’est produit début juin, a touché plusieurs entreprises, dont LastPass. À ce stade, les données consultées se limitaient aux coordonnées professionnelles et aux enregistrements de base de gestion de la relation client, tels que les noms des clients, leurs numéros de téléphone, leurs adresses e-mail, leurs adresses postales, ainsi que des informations relatives aux dossiers d’assistance et de vente. Un jour de plus, une nouvelle fuite de données pour le célèbre gestionnaire de mots de passe.
LastPass est une application de gestion de mots de passe. La version standard de LastPass est dotée d’une interface web, mais comprend également une extension de navigateur, une application mobile et la prise en charge des bookmarklets. Fondé en 2008 par quatre développeurs, LastPass a été racheté par GoTo (anciennement LogMeIn Inc.) pour 110 millions de dollars en 2015. LastPass s'est séparé de GoTo pour devenir une entreprise indépendante en 2024.
LastPass est connu pour avoir subi d’importants incidents de sécurité entre 2011 et 2022. Notamment, fin 2022, des données d’utilisateurs, des informations de facturation et des coffres-forts (certains champs étant chiffrés et d’autres non) ont été compromis, ce qui a conduit de nombreux professionnels de la sécurité à recommander aux utilisateurs de changer tous leurs mots de passe et de se tourner vers d’autres gestionnaires de mots de passe.
En décembre 2025, l'Information Commissioner's Office (ICO) du Royaume-Uni a infligé une amende de 1,2 million de livres sterling à LastPass UK Ltd, après avoir conclu qu'une double faille de sécurité survenue en 2022 avait conduit à une violation majeure de données exposant les informations personnelles de près de 1,6 million d'utilisateurs britanniques. Bien que le chiffrement zéro connaissance de l'entreprise ait permis de sécuriser les coffres-forts de mots de passe, les enquêteurs ont découvert que des faiblesses dans les contrôles internes avaient permis à des pirates d'accéder à des données sensibles concernant les clients, telles que les noms, les adresses e-mail, les URL et les numéros de téléphone stockés. L'autorité britannique a invité toutes les entreprises du pays à « examiner leurs propres systèmes afin de s'assurer qu'elles n'exposent pas leurs clients à des risques similaires ».
Un jour de plus, une nouvelle fuite de données pour le célèbre gestionnaire de mots de passe. Récemment, LastPass a révélé une nouvelle fuite de données résultant d’un incident de sécurité chez Klue, un fournisseur tiers d’informations sur le marché intégré aux plateformes Salesforce et Gong de LastPass. L’incident, qui s’est produit début juin, a touché plusieurs entreprises, dont LastPass. Au cours de son enquête, LastPass a découvert qu’une partie non autorisée avait obtenu des jetons d’autorisation OAuth gérés par Klue pour plusieurs clients. À l’aide de ces jetons, l’acteur malveillant a pu accéder aux données clients que LastPass conservait au sein de son environnement Salesforce.
Dès qu’elle en a été informée, LastPass a mis en œuvre ses mesures correctives, notamment en renouvelant tous les jetons OAuth Klue exposés et en restreignant tout nouvel accès. À la suite de ces mesures, LastPass conseille à ses clients de rester vigilants face à d’éventuelles tentatives d’hameçonnage ou d’ingénierie sociale qui pourraient utiliser les coordonnées divulguées.
Depuis l'incident de sécurité de 2022, une question se posait : Est-il recommandé d'abandonner LastPass au profit d'une autre application de gestion de mots de passe ? Pour Jeremi Gosney, chercheur en sécurité, il faut s'éloigner du gestionnaire « en raison de sa longue histoire d'incompétence ». Même s'il avait l'habitude de défendre LastPass, il a déclaré : « Ces dernières années, je me suis retrouvé incapable de défendre LastPass. Je ne me souviens pas s'il y a eu une faille particulière qui a fait déborder le vase, mais je sais que j'ai cessé de le recommander en 2017 et que j'ai totalement effectué la migration en 2019. » Il affirme notamment que l'affirmation de LastPass de "zéro connaissance" est un mensonge éhonté, et que LastPass a l'habitude d'ignorer les chercheurs en sécurité et les rapports de vulnérabilités.
Cette nouvelle révélation rappelle un rapport de février 2026. Des chercheurs de l'ETH Zurich et de l'Università della Svizzera italiana ont notamment révélé 27 vulnérabilités dans quatre gestionnaires de mots de passe basés sur le cloud largement utilisés qui pourraient permettre à des pirates d'accéder aux coffres-forts contenant les identifiants ou de modifier les mots de passe stockés. Les produits concernés et le nombre de scénarios d'attaque identifiés dans la recherche comprennent Bitwarden, LastPass, Dashlane et 1Password. Les vulnérabilités sont regroupées en quatre domaines principaux : le dépôt de clés, le chiffrement des coffres-forts, le partage et la rétrocompatibilité.
merci à Developpez.com
) pour remettre ce fichier txt sur Veracrypt.
(et en ne programmant qu'une touche pour un mdp long et la finit le soucis des Keyloggers)