Vous souvenez vous des déboires de LastPass ? Fin 2022, le piratage de ce gestionnaire de mots de passe avait défrayé la chronique et plongé l'entreprise dans une tourmente… qui la poursuit encore aujourd'hui ! Un nouveau vol aurait eu lieu grâce aux données collectées lors de l'intrusion, permettant aux hackers de dérober une somme conséquente.

Le piratage de LastPass n'a pas fini de faire des victimes © Shutterstock / Koshiro K
Le piratage de LastPass n'a pas fini de faire des victimes © Shutterstock / Koshiro K

Il n'est jamais bon de stocker des phrases de récupération, ou seed phrase, dans un gestionnaire de mots de passe cloud ! À en croire l'analyste de la blockchain ZachXBT, l'intrusion subit par LastPass il y a deux ans continue de hanter l'entreprise et ses clients… Un nouveau vol de cryptomonnaie aurait eu lieu récemment, le troisième depuis l'intrusion. Au total, on dénombrerait une quarantaine de victimes, pour une somme totale d'environ 5,4 millions de dollars.

Une intrusion qui se fait toujours ressentir

Fin 2022, LastPass, l’un des gestionnaires de mots de passe parmi les plus populaires, a subi une attaque sans précédent. Alors que l'entreprise a d'abord minimisé les dégâts, l'intrusion s'est finalement révélée beaucoup plus grave puisque les sauvegardes dérobées contenaient des données critiques, chiffrées comme non chiffrées. Quelques mois plus tard, on apprenait que plusieurs services de GoTo, la maison mère de LastPass, avaient finalement été touchés par la brèche, exposant de fait un nombre d'utilisateurs encore plus importants.

Depuis deux ans, cette intrusion continue de faire des victimes. Selon l’expert blockchain ZachXBT, des hackers ont utilisé les informations compromises pour cibler des portefeuilles de cryptomonnaies. En octobre 2023, d'abord, deux vagues de piratages ont permis de dérober 4,4 millions de dollars. Une autre attaque, survenue en février 2024, a causé une perte supplémentaire de 6,2 millions de dollars. Dernier fait en date, en décembre 2024, un nouveau casse estimé à 5,36 millions de dollars a été identifié.

Les fonds volés auraient été convertis d’Ethereum en Bitcoin via des échanges instantanés, compliquant ainsi la traçabilité des transactions, selon ZachXBT. Il explique en outre que ces attaques sont directement liées à la faille de LastPass et démontrent que ses conséquences continueront de se faire sentir pendant encore plusieurs années.

Prenez vos précautions avant d'être victime à votre tour

Comme l'a mentionné ZachXBT dans de précédents posts sur X.com : « Il est crucial de souligner que si vous pensez avoir un jour stocké votre phrase de récupération ou vos clés privées dans LastPass, migrez immédiatement vos actifs en cryptomonnaies ». Ce nouveau vol fait craindre que d'autres utilisateurs, ou anciens utilisateurs, pourraient faire partie des victimes dans les semaines ou les mois à venir. Si vous êtes encore utilisateurs de LastPass, la solution la plus radicale, mais aussi la plus sécuritaire, reste sans doute de quitter le service, de changer tous vos mots de passe, de modifier vos phrases de récupération et autres clés, et de migrer sans plus tarder tous vos actifs en cryptomonnaies.

Source : The Block