LastPass, dont la plateforme de gestion des mots de passe est utilisée par plus de 800 000 entreprises et 33 millions d’utilisateurs, vient de subir son deuxième incident de sécurité de l’année. Comme l’explique le PDG Karim Toubba dans un billet de blog, qui est d’ailleurs une actualisation de celui rédigé lors du précédent incident, les deux sont liés.
En août dernier, une faille de sécurité avait permis une intrusion dans l’environnement de développement de l’entreprise et le vol d’une partie du code source. Cette fois l’alerte a été donnée par une activité inhabituelle au sein d’un service tiers de stockage cloud, partagé avec sa maison mère GoTo. Selon LastPass, elle a été rendue possible en exploitant des informations obtenues lors du précédent incident.
La mauvaise nouvelle est que cette fois la violation de données a exposé certaines informations sur les clients. La société n’apporte pas plus de détails sur le type d’information et le nombre de clients concernés mais affirme que ses services restent pleinement fonctionnels et que « les mots de passe restent cryptés en toute sécurité » grâce à son architecture Zero Knowledge.
En effet, LastPass est conçu pour sécuriser les données sensibles exclusivement en local et ainsi protéger des attaques coté serveur. L’utilisateur utilise un mot de passe maitre privé qui n’est pas stocké par LastPass. Le chiffrement (AES 256) est opéré sur l’appareil de l’utilisateur avant la synchronisation avec le service, de sorte qu’il soit le seul à pouvoir déchiffrer les données.
L’incident a été signalé aux forces de l’ordre et Lastpass a fait appel à l’entreprise de sécurité Mandiant pour appuyer l’enquête. LastPass a été confronté à plusieurs reprises à des incidents depuis 2015. De quoi porter atteinte à son image même si l’on peut saluer son engagement de transparence.