2023-11-08 22:40 Temps de lecture : 14 min
Technologie

Combien de fois LastPass a-t-il été piraté et son utilisation est-elle toujours sûre ?

Points Essentiels à Retenir

  • LastPass a été la cible de plusieurs compromissions de données par le passé, notamment une en 2015 qui a dévoilé les adresses e-mail des utilisateurs et leurs mots de passe maîtres. Cependant, il est probable que la majorité des utilisateurs ayant activé des mesures de sécurité supplémentaires n'aient pas été affectés par cette vulnérabilité.
  • En 2021, LastPass a été critiqué après la découverte de traqueurs tiers intégrés à son application Android, ce qui a soulevé des questions en matière de protection de la vie privée. LastPass a réagi en affirmant que ces traqueurs étaient utilisés à des fins de télémétrie et que les utilisateurs avaient la possibilité de les désactiver.
  • En 2022, LastPass a subi une brèche de sécurité majeure. Des pirates ont pu accéder aux informations personnelles et aux coffres-forts numériques des utilisateurs. Cette intrusion a eu des conséquences considérables pour LastPass et sa société mère, GoTo, avec notamment le vol de sauvegardes chiffrées et la découverte d'une clé de déchiffrement compromise.
  • Globalement, bien que LastPass soit généralement considéré comme une solution sécurisée, ces multiples incidents de sécurité ont incité certains utilisateurs à explorer d'autres gestionnaires de mots de passe qui n'ont pas été sujets à des compromissions.

De nombreux utilisateurs ont recours à des gestionnaires de mots de passe pour protéger leurs informations confidentielles. LastPass est un choix populaire, mais il a connu plusieurs brèches de sécurité qui ont mis en péril les données de ses utilisateurs.

La question se pose donc : combien de fois LastPass a-t-il été victime de piratage et son utilisation est-elle toujours recommandée ?

1. La Violation de Données de LastPass en 2015

Crédit photo : Ervins Strauhmanis/Flickr

La première attaque significative contre LastPass a eu lieu en juin 2015, soit sept ans après la création de l'entreprise. Cette intrusion a révélé les adresses e-mail des utilisateurs, leurs mots de passe maîtres ainsi que les indices utilisés pour les mémoriser. LastPass a détecté une activité réseau suspecte et l'a rapidement bloquée, mais certains dommages avaient déjà été causés.

Dans une communication aux clients (disponible via Internet Archive), LastPass a indiqué que les utilisateurs ayant mis en place des mesures de sécurité supplémentaires, telles que le hachage et le salage des mots de passe, étaient probablement protégés de cette attaque. Heureusement, la majorité des utilisateurs de LastPass utilisent ces méthodes, ce qui a limité l'impact de la faille.

LastPass a également souligné qu'il ne pensait pas que les comptes utilisateurs avaient été compromis, mais a néanmoins conseillé à tous de vérifier leur adresse e-mail et de changer régulièrement leur mot de passe maître.

Quelques semaines après l'incident, LastPass a publié un article de blog expliquant les améliorations apportées à sa sécurité suite au piratage, grâce à une série de changements. Ces modifications incluaient notamment l'introduction de modules de sécurité matérielle (HSM), qui protègent l'infrastructure cryptographique de LastPass.

2. L'Incident de Traçage de LastPass en 2021

Bien qu'il n'y ait pas eu de piratage en 2021, LastPass a été critiqué pour la présence de traqueurs tiers intégrés à son application Android. Une analyse de sécurité réalisée par Exodus Privacy a révélé la présence de sept de ces traqueurs dans l'application, suscitant l'inquiétude des utilisateurs. Le chercheur en sécurité Mike Kuketz a commenté cette découverte dans un article de blog sur la sécurité informatique, affirmant qu'il était "inacceptable d'intégrer [de la publicité et des traqueurs] dans des applications de gestion de mots de passe".

Kuketz a également listé les sept traqueurs présents dans l'application, notamment ceux de Google Analytics, Segment et AppsFlyer. L'accès accordé à ces plateformes d'analyse marketing a été fortement critiqué par Kuketz, qui considère l'approche de LastPass comme "extrêmement discutable en termes de sécurité".

Kuketz a souligné la nécessité de vérifier manuellement l'application LastPass Android pour déterminer si les traqueurs surveillaient activement les utilisateurs. Toutefois, il a noté que la simple présence de traqueurs était une mauvaise pratique pour une application censée privilégier la sécurité.

En réponse à ces critiques, LastPass a informé ses utilisateurs de son recours à des outils d'analyse, justifiant cela par la nécessité d'obtenir des données de télémétrie, des rapports d'erreurs et des informations statistiques d'utilisation afin d'améliorer les performances globales, la fiabilité et la convivialité de l'application.

Il a été précisé que cette fonctionnalité était optionnelle et désactivable dans les paramètres avancés. Néanmoins, la présence de ces traqueurs a laissé un goût amer chez les experts en sécurité et les utilisateurs.

3. Les Violations de LastPass en 2022

Après l'incident de 2015, LastPass a mis du temps avant de subir une autre cyberattaque. Cependant, en 2022, une autre attaque a eu lieu. Cette année a été particulièrement difficile pour LastPass, avec un premier piratage en août, suivi d'une série de révélations en 2023.

Début août 2022, LastPass a découvert qu'un pirate avait compromis l'ordinateur portable d'un développeur LastPass afin de voler le code source et d'accéder à la plateforme de développement cloud de l'entreprise. Le pirate a contourné la sécurité de l'authentification multifactorielle en se faisant passer pour un utilisateur légitime. Malgré la gravité de l'incident, aucune information client n'a été compromise à ce moment-là.

Malheureusement, quelques mois plus tard, les choses se sont aggravées. En décembre 2022, LastPass a annoncé que le piratage d'août avait permis aux attaquants d'accéder à des zones plus sensibles de son infrastructure. Les pirates ont ainsi pu mettre la main sur des données clients, telles que les adresses e-mail, les adresses IP, les numéros de téléphone et les noms. De plus, certains types de données stockées dans les coffres-forts des utilisateurs ont également été exposés, notamment les identifiants et les mots de passe enregistrés pour les comptes en ligne.

Il va sans dire que LastPass était dans une situation très délicate et que les répercussions se sont poursuivies en 2023.

Les Conséquences de 2023

Bien que 2023 n'ait pas apporté de nouvelles attaques pour LastPass, cette année a permis de révéler des informations troublantes sur les exploitations de 2022.

En janvier 2023, GoTo, la société mère de LastPass, a publié une déclaration sur les conséquences des piratages de 2022. Cette déclaration a révélé que d'autres services de l'entreprise, notamment Central, Hamachi, Pro, join.me et RemotelyAnywhere, ont également été ciblés par des attaques via un périphérique de stockage cloud tiers. Les attaquants ont ainsi pu voler des sauvegardes chiffrées. De plus, GoTo a indiqué avoir découvert des indices suggérant qu'une clé de déchiffrement pour certaines de ces sauvegardes avait été consultée.

En février 2023, LastPass a de nouveau fait les gros titres lorsqu'il a été révélé qu'entre le premier et le deuxième piratage de 2022, d'autres actions malveillantes avaient été menées par des attaquants.

Comme indiqué dans un article, les pirates de novembre 2022 ont compromis l'ordinateur personnel d'un développeur senior de LastPass par le biais d'une vulnérabilité logicielle. Après avoir piraté l'ordinateur, ils ont installé un enregistreur de frappe, leur permettant de visualiser ce que le développeur saisissait sur son clavier.

Cette action a permis aux attaquants de récupérer le mot de passe maître du coffre-fort d'entreprise LastPass du développeur et d'accéder au coffre-fort lui-même. Il est choquant de constater que seuls quatre développeurs senior de LastPass avaient accès à ce coffre-fort et que les attaquants ont réussi à cibler l'un d'eux.

Les pirates ont également utilisé les identifiants volés en 2022 pour dérober 4,4 millions de dollars de crypto-monnaies en octobre 2023. On pense qu'ils ont accédé aux phrases de départ et aux clés des portefeuilles de crypto-monnaies lors de la deuxième violation de 2022, ce qui leur a permis de vider les portefeuilles à leur guise.

LastPass a publié une liste détaillée des données compromises lors des attaques de 2022, si vous souhaitez en savoir plus sur ce qui a été exposé.

L'Utilisation de LastPass est-elle Toujours Sûre ?

Bien que LastPass existe depuis 2008, la majorité des incidents de sécurité ont eu lieu au cours des années 2020. Il est donc compréhensible de se sentir nerveux quant à l'utilisation de LastPass. Faut-il continuer à utiliser LastPass ou opter pour une alternative ?

Bien qu'il soit plus sûr d'utiliser LastPass qu'une simple application de notes ou une autre option de stockage similaire, il existe peut-être de meilleurs gestionnaires de mots de passe disponibles aujourd'hui. En raison de ses nombreux problèmes de sécurité, LastPass est devenu une source d'inquiétude pour beaucoup, car personne ne peut garantir qu'une autre violation ne se reproduira pas. Les incidents de 2022 ont causé de nombreux problèmes pour LastPass et ses utilisateurs, il n'est donc pas surprenant que certains aient décidé de chercher des gestionnaires de mots de passe qui n'ont pas été compromis.

Dashlane et NordPass sont deux exemples de gestionnaires de mots de passe réputés n'ayant jamais subi de faille de sécurité. Il est donc tout à fait possible de trouver un gestionnaire dont les données ou les portails des employés n'ont pas été compromis.

Si vous utilisez actuellement LastPass et que vous souhaitez changer, vous pouvez consulter notre guide sur la suppression de votre compte LastPass. Nous avons également un guide pratique sur les gestionnaires de mots de passe les plus sûrs si vous avez besoin d'aide pour choisir une alternative.

Cependant, il ne faut pas considérer LastPass comme une application dangereuse. Elle dispose toujours de fonctionnalités utiles pour protéger les informations d'identification sensibles et est facile à utiliser, quel que soit le niveau de maîtrise technologique.

LastPass n'est Pas le Leader de la Gestion des Mots de Passe

Il n'y a rien de mal à utiliser LastPass pour stocker vos mots de passe, car l'application est généralement assez sûre. Il est cependant important de prendre connaissance des alternatives très sécurisées disponibles si vous souhaitez optimiser la protection de vos données sensibles.

Auteur
Julien Bernard
France

Rédacteur tech, guides pratiques et astuces numériques.

Articles similaires
2026-05-15
Découvrez la montre connectée légère HUAWEI WATCH FIT 5 Pro, votre alliée au quotidien  
Dans un monde où l'innovation ne cesse d'évoluer, la HUAWEI WATCH FIT 5 Pro se présente comme une option incontournable pour les amateurs d…
2026-05-05
Énergie solaire en Europe : comment bien préparer une installation photovoltaïque professionnelle ?
L’énergie solaire n’est plus seulement une solution réservée aux passionnés d’écologie ou aux grands projets industriels. Elle devient, pro…
2026-03-31
Comment économiser sur un vélo électrique : conseils pratiques pour payer moins cher en Europe
Acheter un vélo électrique représente souvent un investissement important. Entre le prix du modèle, les accessoires, la livraison et l’entr…
2026-03-11
Optimisez vos performances : Pourquoi la huawei watch gt runner est l'alliée incontournable des marathoniens en 2026 ? 
Si vous avez déjà pris le départ du Marathon de Paris ou couru le long des quais de Bordeaux, vous savez que chaque détail compte dès que l…
Article précédent
Tout ce que vous devez savoir sur l'overclocking d'un Raspberry Pi 5
Article suivant
9 escroqueries cryptographiques que vous devez connaître avant d'acheter du Bitcoin