Le gestionnaire de mots de passe LastPass a confirmé une fuite de données personnelles après une intrusion dans son environnement Salesforce, déclenchée par le piratage de son prestataire Klue. L’éditeur assure en revanche que les coffres-forts chiffrés, ses produits et son infrastructure principale sont restés intacts.
Les données clients de LastPass ont bien fuité
Les informations dérobées concernent des données personnelles et commerciales, pas les mots de passe stockés par les utilisateurs. LastPass indique que des noms, numéros de téléphone, adresses e-mail, adresses physiques, données liées à l’assistance et informations issues de sa gestion de la relation client ont été exfiltrés. Le risque immédiat porte désormais sur des attaques d’ingénierie sociale et de phishing très ciblées contre les utilisateurs exposés.
LastPass dit avoir été averti le 12 juin. Dans sa communication, l’entreprise précise : « Le 12 juin, LastPass a été informé d’un incident survenu chez Klue […]. L’acteur de la menace a ensuite utilisé ces informations d’identification pour accéder aux données des clients de LastPass au sein de notre environnement Salesforce ».
Le groupe d’extorsion Icarus a ensuite lancé une campagne de pression après l’exfiltration des données de la gestion de la relation client. LastPass a déjà identifié trois domaines frauduleux susceptibles d’être utilisés dans de futures opérations d’hameçonnage : baccarat.com.au, robinskitchen.com.au et house.com.au. L’entreprise précise aussi qu’aucune fuite n’a touché le système Gong, utilisé pour les appels et les e-mails.
Le piratage vient du prestataire Klue
L’intrusion n’a pas visé directement la partie technique de LastPass. Selon les éléments communiqués, Icarus a d’abord compromis l’infrastructure de Klue en s’appuyant sur d’anciens identifiants, puis a volé des jetons d’accès OAuth pour rebondir vers l’environnement Salesforce de LastPass. Cette mécanique d’attaque par la chaîne d’approvisionnement illustre la fragilité des connexions entre services tiers.
LastPass affirme avoir réagi en urgence en coupant l’accès de ses employés à Klue et en faisant tourner les clés API et OAuth exposées. L’entreprise a également saisi les forces de l’ordre. Elle insiste sur le fait que ses coffres-forts, ses produits et son infrastructure principale n’ont subi aucun piratage.
L’affaire s’inscrit dans une campagne plus large attribuée à Icarus. D’autres organisations ont été touchées par cette compromission de Klue, dont Recorded Future, Tanium, Jamf, Sprout Social et Insurity.
Dans le cas de LastPass, il y a déjà eu plusieurs piratages dans le passé, dont un en 2023 et un en 2022.
