L’entreprise américaine de gestion de mots de passe, filiale de GoTo, est critiquée pour sa gestion de la communication à propos d’une fuite de données en 2022.
Pour mémoire, en août dernier, une faille de sécurité a permis une intrusion dans l’environnement de développement de LastPass et le vol d’une partie du code source. En début décembre dernier, LastPass a indiqué qu’une activité inhabituelle au sein d’un service tiers de stockage cloud partagé avec sa maison mère, GoTo, avait été repérée. Elle exploitait des informations obtenues lors du précédent incident. Les informations en question ont été récupérées en compromettant le poste d’un développeur. Elles ont servi à attaquer un autre employé et ont permis le vol de clés pour accéder au service tiers de stockage cloud et y déchiffrer des volumes.
En cette fin décembre 2022, LastPass vient d’affirmer que ces volumes consistent en des sauvegardes de données de prod et avoue que l’attaquant a pu copier des « informations basiques » relatives à des comptes d’utilisateurs, des métadonnées associées (noms d’entreprises, adresses de facturation, mails, numéros de téléphone et adresses IP), mais aussi des données chiffrées stockées dans les coffres forts de clients (identifiants, mots de passe, notes sécurisées et formulaires).
Le chercheur en sécurité Wladimir Palant dénonce la communication de l’entreprise : « pleine d’omissions, de demi vérités et de purs mensonges ». « L’engagement pour la transparence », annoncé par LastPass, n’est selon lui rien d’autre « qu’une obligation légale de communiquer sur ce type d’incident ». Il estime dans un billet de blog que LastPass savait depuis un certain temps que des mots de passe avaient été volés mais que l’entreprise a attendu la veille des fêtes pour le révéler, espérant que la nouvelle resterait discrète.