Ne manquez plus aucune de nos publications :
Le gestionnaire de mots de passe LastPass a confirmé une fuite de données personnelles après une intrusion dans son environnement Salesforce, déclenchée par le piratage de son prestataire Klue. L’éditeur assure en revanche que les coffres-forts chiffrés, ses produits et son infrastructure principale sont restés intacts.

Les informations dérobées concernent des données personnelles et commerciales, pas les mots de passe stockés par les utilisateurs. LastPass indique que des noms, numéros de téléphone, adresses e-mail, adresses physiques, données liées à l’assistance et informations issues de sa gestion de la relation client ont été exfiltrés. Le risque immédiat porte désormais sur des attaques d’ingénierie sociale et de phishing très ciblées contre les utilisateurs exposés.
LastPass dit avoir été averti le 12 juin. Dans sa communication, l’entreprise précise : « Le 12 juin, LastPass a été informé d’un incident survenu chez Klue […]. L’acteur de la menace a ensuite utilisé ces informations d’identification pour accéder aux données des clients de LastPass au sein de notre environnement Salesforce ».
Le groupe d’extorsion Icarus a ensuite lancé une campagne de pression après l’exfiltration des données de la gestion de la relation client. LastPass a déjà identifié trois domaines frauduleux susceptibles d’être utilisés dans de futures opérations d’hameçonnage : baccarat.com.au, robinskitchen.com.au et house.com.au. L’entreprise précise aussi qu’aucune fuite n’a touché le système Gong, utilisé pour les appels et les e-mails.
L’intrusion n’a pas visé directement la partie technique de LastPass. Selon les éléments communiqués, Icarus a d’abord compromis l’infrastructure de Klue en s’appuyant sur d’anciens identifiants, puis a volé des jetons d’accès OAuth pour rebondir vers l’environnement Salesforce de LastPass. Cette mécanique d’attaque par la chaîne d’approvisionnement illustre la fragilité des connexions entre services tiers.
LastPass affirme avoir réagi en urgence en coupant l’accès de ses employés à Klue et en faisant tourner les clés API et OAuth exposées. L’entreprise a également saisi les forces de l’ordre. Elle insiste sur le fait que ses coffres-forts, ses produits et son infrastructure principale n’ont subi aucun piratage.
L’affaire s’inscrit dans une campagne plus large attribuée à Icarus. D’autres organisations ont été touchées par cette compromission de Klue, dont Recorded Future, Tanium, Jamf, Sprout Social et Insurity.
Dans le cas de LastPass, il y a déjà eu plusieurs piratages dans le passé, dont un en 2023 et un en 2022.
Lidl a confirmé une cyberattaque ayant compromis les données personnelles de clients en France, en Belgique et aux Pays-Bas....
Spotify déploie « Talk to Spotify », un chatbot utilisant l’intelligence artificielle, d’abord réservé...
Jensen Huang a comparé à Tokyo la trajectoire de l’intelligence artificielle à celle de l’électricité,...
La Commission européenne a ordonné à Google d’ouvrir Android aux assistants d’intelligence artificielle concurrents tels...
George Lucas n’a jamais considéré la technologie comme un simple outil secondaire du cinéma. Le créateur de Star Wars,...