Retour au blog
Hacks célèbresAuthentificationcryptographie

LastPass 2022 : comment un dump de coffres-forts a causé des années de dégâts

Publié le 2026-04-098 min de lectureFlorian

La double compromission

L'incident LastPass de 2022 est en réalité deux attaques liées qui ont abouti au vol des coffres-forts chiffrés de tous les utilisateurs.

Première phase (août 2022) : un attaquant compromet le poste de travail d'un développeur LastPass et accède au code source et à des informations techniques internes.

Seconde phase (octobre-novembre 2022) : en utilisant les informations obtenues lors de la première phase, l'attaquant cible un des quatre ingénieurs DevOps qui ont accès aux clés de déchiffrement de l'infrastructure cloud. Il exploite une vulnérabilité dans le logiciel Plex installé sur l'ordinateur personnel de cet ingénieur pour installer un keylogger et obtenir ses credentials.

Résultat : l'attaquant accède aux sauvegardes AWS S3 contenant les coffres-forts chiffrés de tous les utilisateurs LastPass.

Ce qui a été volé

Données non chiffrées : les URL des sites web stockés dans les coffres-forts n'étaient pas chiffrées. Un attaquant sait donc quels sites vous utilisez (banques, services de santé, réseaux sociaux).

Données chiffrées : les noms d'utilisateur et mots de passe sont chiffrés en AES-256 avec une clé dérivée du mot de passe maître de l'utilisateur.

Le problème : les coffres-forts sont désormais entre les mains de l'attaquant. Il peut tenter de craquer les mots de passe maîtres hors ligne, sans limitation de tentatives.

L'impact à long terme

Contrairement à une fuite de mots de passe classique (où le service concerné peut forcer un changement), les coffres-forts LastPass sont statiques. L'attaquant dispose de tout le temps nécessaire pour :

  • Tenter du brute-force sur les mots de passe maîtres faibles
  • Utiliser les URL non chiffrées pour cibler les comptes à haute valeur
  • Exploiter les credentials obtenus sur d'autres services

    • En 2023 et 2024, des chercheurs en sécurité ont documenté des vols de cryptomonnaies liés aux coffres-forts LastPass compromis. Les victimes utilisaient des mots de passe maîtres faibles et stockaient leurs seed phrases de portefeuilles crypto dans LastPass.

    Les faiblesses révélées

    Le chiffrement dépendait du mot de passe maître. Si le mot de passe maître est faible (court, réutilisé, prévisible), le chiffrement AES-256 ne protège rien. LastPass n'imposait pas de longueur minimale stricte pour les anciens comptes.

    Le nombre d'itérations PBKDF2 était insuffisant. Pour les anciens comptes, le nombre d'itérations était de 5 000, ce qui est très en dessous des recommandations actuelles (600 000+). Cela accélère considérablement le brute-force.

    Les URL n'étaient pas chiffrées. C'est un choix de design qui privilégiait la performance (recherche dans le coffre-fort) au détriment de la confidentialité.

    L'accès aux sauvegardes n'était pas suffisamment segmenté. Un seul ingénieur avec les bonnes clés pouvait accéder à l'ensemble des sauvegardes.

    Leçons

    Un gestionnaire de mots de passe est un SPOF. Tous les œufs sont dans le même panier. Le mot de passe maître doit être extrêmement robuste (20+ caractères, aléatoire).

    Le chiffrement côté client ne protège que si la clé est forte. AES-256 avec un mot de passe de 8 caractères, c'est un verrou de haute sécurité avec une clé sous le paillasson.

    Les sauvegardes sont des cibles. Les sauvegardes cloud contenant des données sensibles doivent avoir des contrôles d'accès aussi stricts que les systèmes de production.

    Le zero trust s'applique aux ingénieurs. L'attaque a ciblé l'ordinateur personnel d'un ingénieur. Les accès critiques ne doivent pas dépendre de la sécurité d'un poste personnel.

    La compromission de LastPass rappelle l'importance d'auditer la chaîne complète de sécurité. CleanIssue vérifie que vos mécanismes de stockage de secrets et de chiffrement résistent à ce type de scénario.

    Articles liés

    Trois analyses proches pour continuer la lecture sur la meme surface de risque.

    Hacks célèbresAuthentification

    Okta 2022 et 2023 : quand le fournisseur d'identité se fait pirater

    Deux compromissions majeures d'Okta en deux ans. Analyse des vecteurs, de l'impact sur les clients, et des enseignements pour la sécurité des fournisseurs d'identité.

    2026-04-07 · 7 min de lecture
    Hacks célèbressupply chain

    SolarWinds 2020 : l'attaque supply chain qui a tout changé

    Analyse complète de l'attaque SolarWinds Orion par le groupe russe Nobelium : méthode, impact sur 18 000 organisations et leçons pour la sécurité.

    2026-04-05 · 9 min de lecture
    WordPresstechnique

    WordPress 6.8 : ce que le passage a bcrypt change vraiment pour la securite

    WordPress 6.8 a remplace phpass par bcrypt pour les mots de passe utilisateurs et introduit BLAKE2b pour plusieurs secrets applicatifs. Voici ce que cela change vraiment, et ce que cela ne corrige pas.

    2026-04-11 · 7 min de lecture

    Sources

    Rédigé par Florian
    Revu le 2026-04-09

    Analyse éditoriale fondée sur la documentation officielle des éditeurs, projets et autorités concernées.

    Services associés

    Si ce sujet reflète un risque concret sur votre stack, voici les audits CleanIssue les plus pertinents.

    Audit Complet

    Documenter toutes les failles prioritaires et obtenir un vrai plan de remédiation.

    Revue Externe

    Obtenir rapidement une lecture claire de l'exposition réelle de votre produit.

    Besoin d'une revue externe de votre SaaS RH ?

    Expliquez votre produit, votre stack et votre contexte client. Nous revenons vers vous avec le bon niveau de revue.

    Parler de votre audit