Données clients LastPass exposées lors d'un incident de sécurité chez un fournisseur tiers

24 juin 2026Catégorie: Antivirus et sécuritéÉcrit par Andreas

LastPass est une nouvelle fois associé à un incident de sécurité, bien que l'entreprise affirme cette fois que ses coffres-forts de mots de passe, son infrastructure et ses services principaux n'ont pas été compromis.

Selon les informations communiquées aux clients, l'incident trouve son origine chez Klue, une plateforme d'intelligence de marché utilisée par de nombreuses organisations. Grâce aux intégrations entre Klue et les systèmes de gestion de la relation client (CRM), une personne non autorisée a pu accéder à certaines données stockées dans l'environnement Salesforce de LastPass.

Les informations concernées peuvent inclure :

• Coordonnées des clients
• Informations organisationnelles
• Informations liées aux comptes
• Dossiers de support client

LastPass souligne que les mots de passe, le contenu des coffres-forts, les identifiants et les données chiffrées des clients n'ont pas été affectés par cet incident.

Pourquoi cela reste important

Même si les coffres-forts de mots de passe n'ont pas été compromis, les informations de contact exposées peuvent avoir de la valeur pour les cybercriminels.

Les attaquants utilisent souvent des données obtenues lors de précédentes fuites pour créer des e-mails de phishing convaincants, des escroqueries téléphoniques ou des tentatives d'ingénierie sociale. Un ticket de support, un nom d'entreprise ou certaines informations de compte peuvent aider un fraudeur à paraître légitime lorsqu'il contacte une victime potentielle.

Les utilisateurs de LastPass doivent donc rester vigilants, notamment face aux e-mails inattendus, aux appels téléphoniques ou aux demandes d'informations sensibles.

Que faire ?

Nous recommandons les mesures suivantes :

1. Soyez particulièrement prudent avec les e-mails prétendant provenir de LastPass ou de prestataires associés.
2. Ne communiquez jamais votre mot de passe maître LastPass à qui que ce soit.
3. Vérifiez toute demande de support inattendue via les canaux officiels.
4. Activez l'authentification multifacteur (MFA) partout où cela est possible.
5. Consultez régulièrement les alertes de sécurité et l'activité de vos comptes.
6. Restez attentif aux tentatives de phishing faisant référence à votre entreprise, à votre historique de support ou à votre compte LastPass.

Un rappel concernant les risques liés aux tiers

Cet incident illustre un défi croissant en cybersécurité : une organisation peut investir massivement dans la protection de ses propres systèmes tout en restant vulnérable à travers ses fournisseurs et partenaires externes.

À mesure que les entreprises s'appuient sur des écosystèmes logiciels de plus en plus complexes, chaque service connecté devient un maillon de la chaîne de sécurité. Une faiblesse chez un fournisseur peut rapidement devenir un problème pour des centaines, voire des milliers de clients.

Conclusion

À l'heure où nous écrivons cet article, rien n'indique que les coffres-forts clients ou les mots de passe aient été exposés. Néanmoins, cet incident rappelle une fois de plus que les informations personnelles et professionnelles peuvent être touchées même lorsque les systèmes principaux restent sécurisés.

Si vous êtes client de LastPass, c'est une bonne occasion de revoir vos pratiques de sécurité, de vérifier que l'authentification multifacteur est activée et de rester vigilant face aux tentatives de phishing.

La sécurité ne consiste pas seulement à protéger les mots de passe ; elle consiste également à protéger les informations que les attaquants peuvent utiliser pour gagner la confiance de leurs victimes.

Restez prudent en ligne.