Compromission en deux temps de LastPass et vol des coffres clients (2022)

Un vol de code source en août 2022 sur l'ordinateur portable d'un développeur LastPass s'est enchaîné en novembre 2022 avec la compromission de l'ordinateur personnel d'un ingénieur DevOps — donnant accès aux sauvegardes des coffres de mots de passe des clients. Les enquêteurs fédéraux ont ensuite relié les coffres volés à LastPass à un casse crypto de 150 millions de dollars.

En 2022, le gestionnaire de mots de passe LastPass a subi une compromission en deux temps qui est devenue l'un des incidents de sécurité les plus lourds de conséquences de l'industrie du logiciel grand public. Une compromission en août 2022 de l'ordinateur portable professionnel d'un seul développeur a donné aux attaquants du code source, de la documentation technique et des secrets internes. Quelques mois plus tard, les attaquants ont utilisé cette connaissance pour compromettre l'ordinateur personnel d'un second ingénieur, capturer des identifiants avec un enregistreur de frappe et atteindre les sauvegardes des coffres de mots de passe clients.

Ce qui s'est passé

Étape 1 — 8 août 2022. Les attaquants ont compromis l'ordinateur portable professionnel d'un ingénieur logiciel de LastPass pour atteindre un environnement de développement cloud. Ils ont exfiltré 14 dépôts de code source sur environ 200, de la documentation technique interne et des secrets de systèmes internes. Élément critique : le butin incluait une clé de sauvegarde chiffrée utilisée pour protéger les sauvegardes de données clients stockées dans Amazon S3, ainsi que la sauvegarde de la base MFA / fédération, avec les graines des authentificateurs et un composant à connaissance partagée (la « clé » K2) utilisé pour la fédération.

En septembre 2022, LastPass a déclaré publiquement qu'aucune donnée client ni coffre de mots de passe n'avait été consulté. Cette déclaration était vraie à ce moment-là — mais les attaquants n'avaient pas terminé.

Étape 2 — septembre-octobre 2022. S'appuyant sur la connaissance technique acquise lors de l'intrusion d'août, les attaquants ont compromis l'ordinateur personnel d'un ingénieur DevOps senior (l'un des quatre seuls employés disposant des clés nécessaires pour accéder à certains secrets de production). Un enregistreur de frappe installé sur l'appareil personnel a capturé les identifiants de l'ingénieur. Avec eux, les attaquants ont atteint un coffre interne contenant d'autres clés — et de là, une base de sauvegarde et des copies des coffres de mots de passe clients.

LastPass a révélé le second incident le 30 novembre 2022. Le 22 décembre, l'entreprise a reconnu que certains coffres clients avaient été exfiltrés. Les coffres étaient chiffrés, mais la protection reposait en définitive sur la robustesse du mot de passe maître de chaque client — et tout client ayant un mot de passe maître faible était désormais exposé à de la force brute hors ligne.

En mars 2025, les enquêteurs fédéraux américains ont publiquement relié le contenu des coffres volés à LastPass à un vol de cryptomonnaie de 150 millions de dollars — le genre de conséquence en cascade que les chercheurs en sécurité avaient avertie depuis des années.

Impact

Code source de 14 dépôts LastPass exfiltré.
Base de sauvegarde et copies de coffres de mots de passe clients volées.
Certains champs d'URL non chiffrés et champs nom d'utilisateur/mot de passe chiffrés dans les coffres exposés.
Sauvegarde de la base MFA / fédération volée, dont les graines des authentificateurs.
150 millions de dollars de vol de cryptomonnaie ensuite attribués aux données des coffres volés à LastPass.
A déclenché une remise en question à l'échelle de l'industrie sur l'architecture des gestionnaires de mots de passe et la sécurité du mot de passe maître.

Pourquoi cela compte

LastPass a transformé la manière dont l'industrie de la sécurité conçoit les SaaS à point de défaillance unique. Un gestionnaire de mots de passe détient, par conception, les données d'identité les plus concentrées qu'un consommateur possède. La chaîne en deux étapes — ordinateur portable professionnel → ordinateur personnel d'un développeur avec un enregistreur de frappe → clés de sauvegarde de production — met également en lumière l'angle mort des appareils personnels dans la plupart des programmes de sécurité d'entreprise.

Chronologie

8 août 2022

Des attaquants compromettent l'ordinateur portable professionnel d'un ingénieur logiciel de LastPass pour accéder à un environnement de développement cloud ; 14 dépôts de code source sur environ 200, ainsi que de la documentation technique interne, sont exfiltrés, dont une clé de sauvegarde chiffrée pour les sauvegardes de données clients stockées dans Amazon S3.

15 septembre 2022

LastPass déclare que l'enquête a établi qu'aucune donnée client ni coffre de mots de passe n'a été consulté.

2022-09-10 — 2022-10-25

S'appuyant sur la connaissance technique acquise lors de la compromission d'août, les attaquants infectent l'ordinateur personnel d'un ingénieur DevOps senior avec un enregistreur de frappe, capturant des identifiants qui donnent accès à un coffre interne contenant des clés de production.

30 novembre 2022

LastPass révèle le second incident, plus grave : accès à la base de sauvegarde et exfiltration de coffres de mots de passe clients — dont certaines URL non chiffrées et des champs nom d'utilisateur/mot de passe chiffrés.

22 décembre 2022

LastPass reconnaît que des coffres clients — chiffrés — sont entre les mains des attaquants ; les utilisateurs ayant un mot de passe maître faible sont exposés à des attaques par force brute hors ligne.

1 mars 2025

Les enquêteurs fédéraux américains relient publiquement le contenu des coffres volés à LastPass à un vol de cryptomonnaie de 150 millions de dollars, confirmant l'impact en cascade longtemps redouté.

Sources

en.wikipedia.orghttps://en.wikipedia.org/wiki/2022_LastPass_data_breach

cybersecuritydive.comhttps://www.cybersecuritydive.com/news/lastpass-cyberattack-timeline/643958/

blog.lastpass.comhttps://blog.lastpass.com/posts/notice-of-recent-security-incident

krebsonsecurity.comhttps://krebsonsecurity.com/2025/03/feds-link-150m-cyberheist-to-2022-lastpass-hacks/

Incidents liés

Fuite de donnéesRançon payée1 mai 2026

Fuite ShinyHunters chez Instructure Canvas LMS (2026)

ShinyHunters a exploité le programme de comptes Free-For-Teacher de Canvas pour exfiltrer 3,65 To de données couvrant environ 275 millions d'utilisateurs dans près de 9 000 établissements scolaires — noms, adresses e-mail, identifiants d'étudiants et certains messages privés entre étudiants et enseignants. Instructure aurait payé la rançon et les données auraient été détruites.

Victim: Instructure (Canvas LMS)
Loss: $10.0M
Records: 275.0M

Fuite de donnéesInconnu20 mai 2026

GitHub touché par une cyberattaque, près de 4 000 dépôts internes privés en fuite

GitHub, la plateforme de développement utilisée par des millions de développeurs dans le monde, a confirmé avoir été victime d’une cyberattaque ayant

Victim: GitHub

Fuite de donnéesInconnu19 avril 2026

Vercel : incident de sécurité confirmé après une revendication de fuite

La société Vercel, plateforme cloud populaire dans l’écosystème JavaScript et créatrice de Next.js, a confirmé un incident de sécurité impliquant un accès

Victim: Vercel

Fuite de donnéesInconnu29 janvier 2026

126 998 clients de Reseau.site touchés par une fuite de données

Les clients de Reseau.site, une plateforme SaaS de gestion destinée aux commerçants et artisans, sont concernés par une fuite confirmée affectant près de 127 000 profils. L’incident expose des…

Victim: Reseau.site
Records: 127.0K