La violation de LastPass secoue des millions d'utilisateurs : les gestionnaires de mots de passe sont-ils sûrs ?

Les gestionnaires de mots de passe sont parmi les outils de protection numérique les plus puissants, car ils libèrent les utilisateurs du désordre de la sauvegarde des mots de passe sur des papiers ou des fichiers non sécurisés.

Mais ; que se passe-t-il lorsque ces outils eux-mêmes sont piratés ? Et peut-on leur redonner confiance ?

Cette question est devenue aujourd'hui le centre d'intérêt de millions d'utilisateurs de LastPass, après l'un des incidents de piratage les plus graves de l'histoire de l'entreprise, qui a touché des données personnelles d'utilisateurs individuels et d'entreprises, suscitant un large débat sur la sécurité de ces services.

* Un piratage qui menace des millions

LastPass a subi une violation de sécurité majeure, touchant environ 20millions d'utilisateurs individuels et 100000 entreprises.

Les données compromises comprenaient des noms d'utilisateur, des adresses e-mail, des numéros de téléphone et des liens de sites stockés dans le service, selon un rapport publié par le site Slashgear.

Bien que les mots de passe eux-mêmes n'aient pas été déchiffrés grâce à un modèle de cryptage connu sous le nom de “ZeroKnowledge”, l'incident a été considéré comme un avertissement très sérieux pour quiconque dépend de LastPass ou envisage de l'utiliser, poussant certains utilisateurs à transférer leurs données vers d'autres alternatives.

* Amende limitée au milieu de critiques larges

Dans un geste symbolique, le Bureau du Commissaire à l'information au Royaume-Uni a imposé une amende de 1,2 million de livres sterling (environ 1,6milliondollars) à LastPass.

L'amende a été qualifiée de modeste par rapport à l'ampleur des dommages, car elle équivaut à moins d'un dollar par plus de un million d'utilisateurs touchés rien qu'au Royaume-Uni.

* Deux incidents consécutifs et non un seul

Ce qui est plus préoccupant, c'est que le piratage n'était pas un incident isolé, mais une série d'échecs de sécurité :

• Le premier incident : Un attaquant a réussi à accéder à l'ordinateur de travail d'un employé de LastPass et à entrer dans l'environnement de développement interne, sans divulguer les données des utilisateurs à l'époque.

• Le deuxième incident : Le pirate a ciblé un employé de haut niveau via une vulnérabilité connue dans un service de diffusion externe, utilisant des logiciels malveillants pour voler le mot de passe, contournant l'authentification à deux facteurs, avant d'accéder à la base de données des sauvegardes.

* Un défaut systémique et non une simple erreur

Les experts en sécurité de l'information ont confirmé que ce qui s'est passé n'était pas le résultat d'une seule erreur, mais plutôt un cumul de vulnérabilités de sécurité qui ont permis d'accéder à des données sensibles.

La résolution de ce défaut systémique nécessite une reconstruction complète de l'infrastructure de sécurité, et pas seulement des mises à jour rapides.

Ce qui est encore plus préoccupant, c'est que l'incident remonte à 2022, tandis que les amendes ont été imposées en décembre 2025, soulevant des questions sur l'ampleur des améliorations de sécurité qui ont réellement été réalisées au cours de ces années.

* LastPass est-il toujours un choix sûr ?

Bien que les mots de passe n'aient pas été déchiffrés, l'incident a ravivé la question fondamentale :

Le cryptage seul suffit-il à établir la confiance ?

Pour beaucoup, la réponse est devenue plus complexe, et cela pourrait amener les utilisateurs à réfléchir à deux fois avant de confier les clés de leur vie numérique à un service, quelle que soit sa renommée.