Le gestionnaire de mots de passe LastPass a informé ses clients que certaines de leurs informations avaient été consultées lors d’une violation de la cybersécurité, mais affirme que les mots de passe restent sûrs.
LastPass est l’un des plusieurs gestionnaires de mots de passe sur le marché qui vise à réduire la réutilisation des mots de passe en ligne, en les stockant dans une seule application. Cela permet également aux utilisateurs de générer plus facilement des mots de passe forts selon les besoins.
En août, LastPass a déterminé qu’une partie de son code source et de ses informations techniques provenait d’un accès non autorisé à un service de stockage tiers que l’entreprise utilisait.
Après une enquête, la société a déclaré que, bien que l’auteur de la menace ait pu accéder à l’environnement de développement de la société, le système avait empêché l’accès aux données des clients ou aux mots de passe cryptés.
À l’époque, LastPass a déclaré que l’attaquant avait pris des parties du code source et certaines informations techniques propriétaires de LastPass, mais pensait que le risque pour l’application était limité.
LastPass a déclaré que son environnement de production était physiquement séparé de l’environnement de développement et non directement connecté. La société a également effectué une analyse de son code source et de ses versions de production pour vérifier qu’il n’y avait aucune tentative d’injection de code malveillant.
“Les développeurs n’ont pas la capacité de pousser le code source de l’environnement de développement vers la production”, a déclaré la société à l’époque.
“Cette capacité est limitée à une équipe de publication de build distincte et ne peut se produire qu’après l’achèvement de processus rigoureux de révision, de test et de validation du code.”
Cependant, mercredi, le PDG de la société, Karim Toubba, a informé les clients qu'”une partie non autorisée” utilisant les informations glanées lors de l’attaque précédente avait ensuite pu accéder à “certains éléments des informations de nos clients”.
LastPass n’a pas précisé en quoi consistaient précisément ces informations, mais a déclaré que les mots de passe restaient cryptés en toute sécurité. LastPass n’a pas non plus accès aux mots de passe principaux des clients, ce qui signifie que seul l’utilisateur a accès pour déchiffrer les mots de passe qu’ils stockent.
“Nous travaillons avec diligence pour comprendre l’étendue de l’incident et identifier les informations spécifiques qui ont été consultées”, a déclaré Toubba.
“En attendant, nous pouvons confirmer que les produits et services LastPass restent pleinement fonctionnels.”
Toubba a déclaré que la société mettrait en place davantage de mesures de sécurité et de surveillance pour détecter toute activité supplémentaire d’acteurs menaçants.
