Trois ans après le piratage de LastPass, des portefeuilles de cryptomonnaies sont encore vidés, à mesure que des attaquants parviennent à déchiffrer les données volées à l’époque.
En 2022, le gestionnaire de mots de passe LastPass reconnaissait une double compromission. Une première intrusion avait permis à des attaquants d’accéder à l’environnement de développement. Une seconde attaque, liée à la précédente, avait abouti au vol de sauvegardes de coffres-forts d’utilisateurs et d’utilisatrices. À l’époque, LastPass avait insisté sur le fait que ces coffres étaient chiffrés et protégés par le mot de passe maître, ce qui devait en théorie limiter l’impact immédiat de la fuite. Trois ans plus tard, pour celles et ceux qui n’ont pas changé ce mot de passe ou l’avaient choisi trop simple, cette protection n’a pas suffi.
Une brèche ancienne aux effets différés
L’incident ne s’est donc pas joué uniquement en 2022. Une fois les coffres-forts dérobés, les attaquants ont pu travailler hors ligne, en ciblant en priorité les mots de passe maîtres les plus faibles. Depuis 2024, plusieurs vagues de vols de cryptomonnaies ont ainsi été signalées par des utilisateurs et utilisatrices qui n’avaient pourtant repéré ni campagne de phishing récente ni infection par malware sur leurs appareils. Les fonds disparaissent d’un bloc, directement depuis les cryptowallets, comme si quelqu’un disposait déjà des clés privées nécessaires pour signer les transactions.
C’est ce que décrit la société de renseignement blockchain TRM Labs dans une analyse consacrée aux suites de la fuite LastPass. En examinant des séries de portefeuilles vidés entre 2024 et 2025, ses chercheurs ont identifié des schémas récurrents, avec un même enchaînement de mouvements impliquant d’abord le regroupement des actifs, puis leur conversion en bitcoin lorsque c’était nécessaire, avant un transfert vers des portefeuilles compatibles CoinJoin. Les vols n’interviennent pas tous au même moment, mais par vagues espacées, ce qui colle davantage avec l’idée de coffres-forts déchiffrés progressivement qu’avec une campagne unique exploitant des identifiants fraîchement volés.
TRM affirme avoir pu relier l’activité avant et après le passage par CoinJoin en travaillant sur l’ensemble de la campagne plutôt que sur des cas isolés, en observant la structure des transactions, le calendrier des transferts, les logiciels utilisés et les montants en jeu. Malgré le mixage censé brouiller les pistes, les trajectoires se ressemblent et aboutissent souvent aux mêmes adresses. Les bitcoins issus de ces vols sont régulièrement déposés sur un petit nombre de plateformes d’échange jugées à haut risque et déjà citées dans d’autres dossiers de cybercriminalité, notamment Cryptex et Audi6. Au total, TRM chiffre à environ 35 millions de dollars les montants siphonnés et blanchis de cette manière, sans compter les cas n’ayant pas encore été rattachés à la fuite de 2022.
Limiter la casse quand on a stocké ses clés dans LastPass
Si vous utilisiez LastPass en 2022 pour stocker des clés privées, des phrases de récupération ou des accès à des plateformes d’échange, partez du principe que ces données ont pu être exposées.
Le premier réflexe consiste à reprendre le contrôle de ce qui dépend de vous. Générez de nouvelles clés quand c’est possible et transférez vos fonds vers des portefeuilles dont les éléments sensibles n’ont jamais été stockés dans le coffre compromis. Déplacez progressivement vos avoirs, en commençant par les montants les plus élevés ou les portefeuilles les plus exposés. Conservez vos phrases de récupération hors ligne, sur un support physique que vous contrôlez, plutôt que dans une note ou un document synchronisé sur un service en ligne.
Côté gestion de mots de passe, passez à un mot de passe maître long, aléatoire et dédié, vérifiez les paramètres de renforcement appliqués par le gestionnaire, activez l’authentification à deux facteurs et bannissez toute réutilisation de ce mot de passe sur d’autres services.
Séparez enfin ce qui relève du confort et ce qui engage directement vos fonds. Confiez au gestionnaire de mots de passe vos identifiants de services, mais conservez les éléments qui contrôlent des cryptomonnaies dans un portefeuille matériel ou un coffre chiffré distinct. Surveillez régulièrement votre historique de transactions et activez des alertes dès que votre solde évolue de manière inhabituelle.
Source : TRM Labs
