LastPass a connu une année difficile en 2022 en raison de plusieurs incidents de piratage qui ont révélé de graves faiblesses dans son système de sécurité. Les attaques ont été menées par des pirates qui ont pu voler le code source de LastPass et exploiter une vulnérabilité dans une application d’accès à distance utilisée par ses employés. Les pirates ont installé un enregistreur de frappe sur l’ordinateur d’un ingénieur senior de l’entreprise, ce qui leur a permis d’obtenir le mot de passe principal LastPass de l’employé, accédant ainsi au coffre-fort de l’employé et à tous les secrets qu’il contient.
LastPass Logo
Malheureusement, LastPass a conservé les sauvegardes de production et les sauvegardes de bases de données critiques dans le cloud, ce qui a entraîné le vol d’une quantité importante de données clients sensibles. Bien que les pirates n’aient pas été en mesure de déchiffrer les données les plus sensibles (telles que les adresses e-mail et les mots de passe) car elles étaient chiffrées à l’aide d’une méthode à connaissance nulle, ils ont pu accéder aux sauvegardes de la base de données d’authentification multifacteur de LastPass, aux secrets de l’API, aux métadonnées client, données de configuration, et plus encore.
LastPass a été critiqué pour sa gestion des attaques et pour avoir tenté de cacher ses pages de support d’attaque aux moteurs de recherche en ajoutant des métadonnées noindex. Il est fortement recommandé aux utilisateurs de LastPass de passer à un autre gestionnaire de mots de passe. Il existe de nombreux autres superbes gestionnaires de mots de passe disponibles qui peuvent protéger de manière fiable vos informations importantes.
