LastPass a confirmé une nouvelle fuite de données, cette fois via un prestataire de services tiers compromis. Des attaquants ont utilisé des jetons OAuth volés à Klue, une plateforme de veille concurrentielle, pour accéder à l’environnement Salesforce de LastPass et extraire des coordonnées de clients.
Cette fuite s’ajoute à un historique de sécurité trouble pour le gestionnaire de mots de passe, qui a subi un incident majeur en 2022 exposant des coffres chiffrés et a depuis fait face à des amendes réglementaires.
Ce qui s’est passé
Le groupe d’extorsion connu sous le nom d’Icarus a compromis les systèmes backend de Klue vers le 12 juin 2026, en poussant une mise à jour malveillante qui a récolté des jetons OAuth. En utilisant ces jetons, les attaquants ont interrogé les environnements Salesforce pour copier les données CRM appartenant à LastPass et à d’autres clients de Klue.
LastPass a indiqué que les données exposées incluent les noms, numéros de téléphone, adresses e-mail, adresses physiques, dossiers de support et informations commerciales des clients. L’entreprise a souligné que les produits, services, infrastructures et coffres de mots de passe des clients de LastPass n’ont pas été affectés. Les mots de passe maîtres et le contenu des coffres chiffrés restent sécurisés.
Klue a informé les clients de l’activité non autorisée le 12 juin. Après que Salesforce a désactivé l’intégration Klue Battlecards le 17 juin, LastPass a publié sa divulgation le 23 juin, après avoir révoqué les jetons exposés, coupé l’accès des employés à Klue et informé les forces de l’ordre.
Ce à quoi il faut s’attendre
Les coordonnées exposées créent des risques d’hameçonnage et d’ingénierie sociale. Les attaquants peuvent utiliser les enregistrements CRM pour concevoir des messages convaincants semblant provenir de LastPass. L’entreprise a réitéré que son personnel ne demandera jamais un mot de passe maître.
L’incident Klue souligne une vulnérabilité croissante : les jetons OAuth conçus pour permettre aux applications de partager des données de manière transparente deviennent des vecteurs d’attaque lorsqu’un service tiers détenant ces jetons est compromis. Les chercheurs en sécurité recommandent aux entreprises de vérifier quelles applications ont accès aux données CRM, de révoquer les connexions inutilisées, de révoquer les jetons immédiatement après des incidents chez un fournisseur et de surveiller l’activité API pour détecter des exportations de données inhabituelles.
Autres actualités sécurité cette semaine
L’ancien conseiller à la sécurité nationale des États-Unis, John Bolton, a plaidé coupable le 26 juin pour un chef d’accusation de rétention illégale d’informations classifiées, mettant fin à un acte d’accusation de 18 chefs. Dans le cadre de l’accord, Bolton risque une amende d’environ 2 millions de dollars américains (environ 1,6 million de livres sterling) et jusqu’à cinq ans de prison, bien que le juge doive déterminer la peine définitive. L’affaire découle de la transmission par Bolton de notes manuscrites contenant des informations hautement classifiées à deux membres de sa famille pendant et après son mandat dans l’administration Trump.
L’unité des crimes numériques de Microsoft, en collaboration avec Europol et des partenaires internationaux, a annoncé le démantèlement des opérations des infostealers Amadey et StealC dans le cadre de l’opération Endgame. L’action coordonnée a identifié plus de 200 domaines et adresses IP de commande et de contrôle malveillants, qui ont été neutralisés par des ordonnances judiciaires et des saisies de domaines. Plus de 140 000 ordinateurs dans le monde ont été infectés par ces outils pendant une période de surveillance de deux semaines en mai. L’opération a récupéré 27 millions d’identifiants de connexion volés et gelé 41 millions d’euros (environ 47 millions de dollars américains) en actifs cryptographiques criminels. Microsoft a indiqué que les enquêteurs ont utilisé des outils d’IA, dont Copilot, pour analyser les binaires malveillants et cartographier l’infrastructure partagée entre les deux familles, qui fonctionnent comme un malware en tant que service et servent de passerelles vers des attaques par rançongiciel.
Sources: Security News This Week: LastPass Users Had Their Data Stolen – Again (Wired, 27 juin 2026); LastPass Confirms Customer Data Breach After Klue OAuth Token Theft (HackRead, 23 juin 2026); Microsoft, Europol lead global takedown of infostealer malware (Cybersecurity Dive, 24 juin 2026); John Bolton pleads guilty in documents case (USA Today, 26 juin 2026)
Traduit par Lydie