Brèche Lastpass : des données exposées quatre jours

Le mois dernier, Lastpass avertissait d’une brèche de sécurité. Avec la publication d’une mise à jour vendredi soir, on en sait désormais plus.

Selon le PDG Karim Toubba, le pirate qui s’est introduit a pu accéder aux systèmes internes pendant quatre jours. C’est ce qui ressort de l’enquête interne menée en partenariat avec Mandiant.

Il se veut cependant rassurant : « Bien que l’acteur malveillant ait pu accéder à l’environnement de développement, la conception de notre système et nos contrôles l’ont empêché d’accéder aux données des clients ou aux mots de passe chiffrés ». Il n’y a pas non plus de preuves d’une quelconque injection de code malveillant.

Comment le pirate s’y est-il pris ? Il s’agit, comme on s’en doute, d’une erreur humaine. L’un des développeurs a pu être berné. L’explication manque de détails, mais on sait que le pirate a pu passer l’authentification à facteurs multiples. Un cas faisant écho à ce que nous indiquions récemment sur ce type de défense, certes important, mais pas absolu.

Le pirate a pu voler une partie du code source, ainsi que certaines informations techniques propriétaires. Il n’a cependant rien pu en faire, car seule l’équipe de production est habilitée à publier du code binaire pour la clientèle, après contrôle.

L’entreprise indique avoir déployé des contrôles supplémentaires, notamment sur la sécurité endpoint et une surveillance renforcée. Il est probable qu’il s’agisse notamment d’un accès conditionnel plus strict.

En savoir plus

Mots-clés : cybersécurité, sécurité informatique, protection des données, menaces cybernétiques, veille cyber, analyse de vulnérabilités, sécurité des réseaux, cyberattaques, conformité RGPD, NIS2, DORA, PCIDSS, DEVSECOPS, eSANTE, intelligence artificielle, IA en cybersécurité, apprentissage automatique, deep learning, algorithmes de sécurité, détection des anomalies, systèmes intelligents, automatisation de la sécurité, IA pour la prévention des cyberattaques.