Fuite de données chez LastPass : ce que ça révèle sur la sécurité de vos mots de passe
Fuite de données chez LastPass : ce que ça révèle sur la sécurité de vos mots de passe
Nouveau coup dur pour l’un des gestionnaires de mots de passe les plus connus au monde. LastPass vient de confirmer qu’une partie des données de ses clients a été exposée lors d’un incident de sécurité. Si vos coffres-forts de mots de passe ne sont pas concernés cette fois-ci, l’affaire soulève une question essentielle : à quel point pouvez-vous faire confiance aux services qui gardent vos identifiants ?
Décryptage de l’incident, et surtout, des enseignements concrets à en tirer pour votre propre sécurité.
Que s’est-il passé exactement ?
Cette fois, la faille ne vient pas directement de LastPass, mais d’un maillon de sa chaîne de sous-traitance. L’entreprise fait appel à Klue, un prestataire spécialisé dans la veille concurrentielle, connecté à ses outils internes comme Salesforce.
Début juin, des attaquants ont réussi à mettre la main sur des jetons d’authentification OAuth gérés par ce prestataire. Ces jetons, sortes de clés d’accès numériques, leur ont ouvert la porte des données clients que LastPass stockait dans son environnement Salesforce. Plusieurs autres entreprises clientes de Klue ont été touchées par le même incident.
Quelles données ont été exposées ?
D’après les éléments communiqués par LastPass, les informations consultées relèvent de la gestion commerciale classique :
- noms des clients ;
- adresses e-mail et numéros de téléphone ;
- adresses postales ;
- historiques de tickets de support et de dossiers commerciaux.
Point important : les coffres-forts de mots de passe n’auraient pas été touchés, pas plus que l’infrastructure principale du service. L’entreprise a réagi en révoquant l’ensemble des jetons compromis et en bloquant les accès concernés.
Pourquoi cette fuite reste préoccupante
« Seulement » des coordonnées, vraiment ? Le risque est plus sérieux qu’il n’y paraît. Ces informations sont une matière première idéale pour le phishing ciblé : un attaquant qui connaît votre nom, votre e-mail, votre téléphone et le fait que vous êtes client LastPass peut monter des campagnes d’hameçonnage extrêmement crédibles par exemple un faux e-mail vous invitant à « re-sécuriser votre coffre-fort » sur un site frauduleux.
LastPass recommande d’ailleurs elle-même à ses utilisateurs de redoubler de vigilance face aux tentatives d’ingénierie sociale dans les semaines à venir.
Un historique qui pèse lourd
Ce qui donne à cet épisode une résonance particulière, c’est qu’il s’inscrit dans une série d’incidents qui suit LastPass depuis plus d’une décennie.
L’épisode le plus marquant remonte à fin 2022 : des sauvegardes de coffres-forts d’utilisateurs avaient alors été dérobées, avec un mélange de champs chiffrés et non chiffrés. De nombreux experts avaient à l’époque conseillé aux utilisateurs de renouveler l’intégralité de leurs mots de passe, voire de migrer vers une autre solution.
Les conséquences juridiques de cette affaire viennent seulement de tomber : fin 2025, le régulateur britannique de la protection des données (ICO) a sanctionné la filiale britannique de l’entreprise d’une amende de 1,2 million de livres, estimant que des défaillances dans les contrôles internes avaient exposé les données personnelles d’environ 1,6 million d’utilisateurs au Royaume-Uni. Le régulateur a profité de l’occasion pour appeler toutes les entreprises à auditer leurs propres dispositifs de sécurité.
Certains spécialistes de la sécurité se montrent depuis longtemps très critiques. C’est le cas du chercheur Jeremi Gosney, ancien défenseur du service, qui explique avoir cessé de le recommander dès 2017 et remet publiquement en cause la réalité de son architecture « zéro connaissance », reprochant aussi à l’entreprise son manque de réactivité face aux signalements de vulnérabilités.
Les gestionnaires de mots de passe sont-ils tous vulnérables ?
Il serait injuste de faire de LastPass un cas isolé. Début 2026, des travaux académiques menés en Suisse (ETH Zurich et Università della Svizzera italiana) ont identifié 27 vulnérabilités réparties sur quatre gestionnaires cloud majeurs dont Bitwarden, Dashlane et 1Password, en plus de LastPass. Les faiblesses relevées touchent des mécanismes fondamentaux : gestion des clés, chiffrement des coffres, fonctions de partage et compatibilité avec d’anciennes versions.
Faut-il pour autant abandonner l’idée du gestionnaire de mots de passe ? Non, et c’est un point crucial. Même imparfait, un gestionnaire reste infiniment plus sûr que la réutilisation d’un même mot de passe sur des dizaines de sites, qui demeure la cause numéro un des piratages de comptes.
Les leçons à retenir pour protéger vos comptes
Cet épisode est surtout un rappel utile de quelques principes de base :
- Un mot de passe unique par service. Si un site fuite, les dégâts restent circonscrits. Un générateur de mots de passe vous permet de créer des identifiants forts et distincts en quelques secondes.
- Activez la double authentification (2FA) partout où c’est possible, en priorité sur votre messagerie et votre gestionnaire lui-même. Même un mot de passe volé devient inutilisable seul.
- Méfiez-vous des e-mails « de sécurité » qui suivent une fuite médiatisée. Ne cliquez jamais sur un lien de réinitialisation reçu par e-mail : passez toujours directement par le site officiel.
- Un mot de passe maître irréprochable. La sécurité de tout votre coffre-fort repose sur lui : optez pour une phrase de passe longue (plusieurs mots aléatoires), jamais utilisée ailleurs.
- Surveillez vos données. Des services permettent de vérifier si votre adresse e-mail apparaît dans des fuites connues. En cas d’alerte, changez les mots de passe concernés sans attendre.
Ce qu’il faut retenir
La sécurité parfaite n’existe pas, même chez les spécialistes du secteur. Ce qui fait la différence, c’est votre capacité à limiter l’impact d’une fuite quand elle survient : des mots de passe uniques, longs, aléatoires, et une seconde couche d’authentification.
Bonne nouvelle : tout cela se met en place en quelques minutes. Commencez par le plus simple, générez des mots de passe robustes pour vos comptes sensibles avec FortixPass, gratuitement et sans inscription.