LastPass assure que les coffres de mots de passe n’ont pas été touchés. Mais des données clients ont bien été exposées via Salesforce après le piratage de Klue, un prestataire connecté à ses outils internes.
LastPass vient de confirmer avoir été touché par ricochet par une attaque supply chain visant Klue, une plateforme de veille commerciale connectée à ses outils internes. L’incident ne concerne pas son gestionnaire de mots de passe ni son infrastructure principale, mais des données clients stockées dans Salesforce. Les coffres ne seraient donc pas compromis, mais les informations exposées pourraient servir à piéger les clients par mail ou par téléphone, en se faisant passer pour le support LastPass.
La solution tout-en-un pour protéger votre entreprise
Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !
Des données clients exposées via Salesforce
L’incident remonte au 12 juin, date à laquelle LastPass dit avoir été informé d’une compromission chez Klue. Cette plateforme de veille commerciale aide les entreprises à suivre leur marché, leurs concurrents et leurs arguments de vente. Chez LastPass, elle était connectée à Salesforce, l’outil utilisé pour centraliser les données clients et les échanges commerciaux, ainsi qu’à Gong, consacré au suivi des appels et communications avec les prospects ou clients.
Selon l’enquête menée par l’entreprise, les attaquants auraient récupéré des jetons OAuth détenus par Klue pour plusieurs de ses clients, dont LastPass. Ces autorisations d’accès, qui permettent à un service tiers de communiquer avec un autre outil sans redemander d’identifiants, ont ensuite servi à accéder à l’environnement Salesforce de LastPass, exposant des données liées à ses utilisateurs et utilisatrices, dont des noms, numéros de téléphone, adresses mail, adresses postales, informations liées au support et données commerciales ou CRM.
LastPass indique ne pas avoir trouvé d’élément montrant un accès aux données Gong, qui peuvent inclure des appels clients ou des échanges commerciaux. L’entreprise assure aussi que ses produits, ses services et son infrastructure n’ont pas été directement affectés. Les coffres-forts de mots de passe ne seraient donc pas compromis.
Selon Huntress, l’attaque contre Klue aurait été revendiquée par le groupe d’extorsion Icarus. Les pirates auraient utilisé d’anciens identifiants compromis liés à un service d’intégration pour accéder à l’infrastructure de la plateforme, puis récupérer des jetons OAuth connectés aux environnements Salesforce de plusieurs clients. LastPass n’est donc pas le seul acteur concerné. Recorded Future, Tanium, Jamf, Sprout Social et Insurity figurent aussi parmi les organisations touchées.
Gare à la recrudescence des tentatives de phishing
Pour les clients LastPass, l’incident ne justifie pas, en l’état, de changer tous les mots de passe stockés dans leur coffre. Le risque porte plutôt sur les tentatives de phishing et d’usurpation du support LastPass. Les données exposées peuvent suffire à rédiger des messages plus crédibles en reprenant un nom, une adresse mail, un numéro de téléphone ou des éléments liés à une demande d’assistance. Un faux conseiller pourrait aussi s’en servir par téléphone pour donner l’impression de connaître le dossier du client.
On rappellera donc qu’il ne faut jamais communiquer son mot de passe maître, y compris à une personne se présentant comme membre d’une assistance technique. Même prudence pour les codes d’authentification, qui ne doivent pas être transmis à un tiers, quelle que soit la raison invoquée.
LastPass indique par ailleurs avoir repéré plusieurs domaines utilisés dans des communications frauduleuses, dont baccarat.com[.]au, robinskitchen.com[.]au et house.com[.]au. L’entreprise confirme aussi avoir coupé l’accès de ses équipes à Klue, renouvelé les jetons API et OAuth exposés, et prévenu les autorités. De son côté, Klue aurait rapidement désactivé les identifiants OAuth de ses clients et suspendu temporairement plusieurs intégrations tierces, dont Salesforce et Gong, selon Huntress.
En pratique, les bons réflexes restent les mêmes. Ne cliquez pas sur les liens reçus par mail ou SMS pour vous connecter à votre compte LastPass. Passez par l’application ou par le site officiel, activez l’authentification multifacteur si ce n’est pas déjà fait, ignorez toute demande de mot de passe maître ou de code d’authentification, et signalez les messages suspects au support officiel.
