" Nous avons récemment détecté une activité anormale sur un service tiers de stockage dans le cloud utilisé tant par LastPass que par sa société affiliée, GoTo. Nous avons immédiatement lancé une enquête, fait appel à Mandiant, une société de sécurité de premier plan, et alerté les autorités ", déclare le gestionnaire de mots de passe LastPass.
Un message similaire pour cet incident de sécurité a été publié par GoTo qui avait racheté LastPass en 2015 pour 100 millions de dollars. À l'époque, ce groupe s'appelait LogMeIn. Pour autant, la communication de GoTo est également peu détaillée.
LastPass souligne en tout cas que cet incident n'a pas compromis les mots de passe des utilisateurs. Les mots de passe sont chiffrés par le biais d'un mot de passe maître qui n'est pas stocké et dont LastPass n'a pas connaissance.
We recently detected unusual activity within a third-party cloud storage service, which is currently shared by both LastPass and its affiliate GoTo. Customer passwords remain safely encrypted due to LastPass’s Zero Knowledge architecture. More info: https://t.co/xk2vKa7icq pic.twitter.com/ynuGVwiZcK
— LastPass (@LastPass) November 30, 2022
Deuxième fois de l'année pour LastPass
C'est la deuxième fois cette année que LastPass doit se plier à ce genre d'exercice de communication à cause d'un incident de sécurité. La dernière fois, c'était en août après une intrusion et l'accès à l'environnement de développement via la compromission du compte d'un développeur.
L'incident estival avait permis le vol d'une partie du code source et d'informations techniques propriétaires. Une enquête avait déterminé qu'il n'y avait pas eu d'accès à des données de clients ou aux coffres-forts de mots de passe chiffrés. En sachant que l'environnement de développement est isolé de l'environnement de production.
L'intégrité du code avait en outre été vérifiée, sans déceler des tentatives de sabotage ou une injection de code malveillant.
Une deuxième attaque en lien avec la première
Il s'avère que le deuxième incident de sécurité qui vient d'être dévoilé par LastPass est lié au premier. " Nous avons déterminé qu'un tiers non autorisé a exploité des informations obtenues lors de l'incident d'août 2022 pour accéder à certaines informations de nos clients. "
" Nous travaillons avec détermination pour évaluer la portée de l'incident et identifier les informations précises qui ont été consultées ", indique LastPass.
Pour le moment, il faudra se contenter de ces quelques explications de LastPass qui revendique 33 millions d'utilisateurs et 100 000 entreprises parmi ses clients. Ce n'est évidemment pas bon pour l'image de LastPass.
