Le gestionnaire de mots de passe LastPass est victime d’un incident de sécurité pour la deuxième fois en quelques mois. Contrairement à la première attaque, les données des clients ont été volées cette fois-ci.
LastPass écrit dans un billet de blog qu’il enquête sur un incident de sécurité, le deuxième déjà cette année. En août, des pirates ont pénétré dans les systèmes du gestionnaire de mots de passe LastPass et ont volé le code source et des informations sur les logiciels propriétaires. Ces informations volées sont directement à l’origine de la seconde attaque. « Grâce à des données volées, une partie non autorisée a pu accéder à nos systèmes », a déclaré le PDG Karim Toubba.
Données clients
Le pirate s’est introduit dans un service de cloud tiers partagé par LastPass et sa société mère GoTo. Selon Toubba, l’attaquant a réussi à atteindre les données des clients. Bien que le PDG n’ait pas dit exactement quelles données étaient concernées. « Nous travaillons sérieusement pour avoir une meilleure visibilité sur l’ampleur de l’incident et pour déterminer les informations auxquelles le pirate a eu accès », a-t-il déclaré.
Les clients de LastPass ne doivent en aucun cas s’inquiéter pour leurs mots de passe. En août, le haut dirigeant a déclaré que « la conception et la gestion de notre système empêchent un attaquant d’accéder aux données des clients ou aux coffres-forts de mots de passe chiffrés ». Dans le blog de mercredi, Toubba a assuré que les mots de passe restaient chiffrés en toute sécurité, même maintenant.
Société mère GoTo
La société mère GoTo, anciennement LogMeIn, a acquis LastPass en 2015. Dans un vaag communiqué, le PDG Paddy Srinivasan écrit que l’entreprise enquête sur cette violation. « Dès que nous avons eu connaissance de l’incident, nous avons prévenu la société de sécurité Mandiant et les autorités législatives. D’après ce que nous savons maintenant, il semble qu’un stockage cloud tiers ait été compromis. Il est vrai que GoTo et LastPass utilisent tous deux ce cloud. »
Selon Srinivasan, les clients de GoTo ne doivent pas s’inquiéter. « Nos produits et services restent opérationnels et nous restons engagés auprès de nos clients. Par exemple, nous mettons continuellement à jour nos mesures de sécurité et mettons en œuvre des capacités de surveillance améliorées. De cette façon, nous nous assurons de pouvoir détecter et prévenir les menaces rapidement », conclut Srinivasan.