L’année dernière, le monde de la cybersécurité a été ébranlé par une faille majeure touchant le gestionnaire de mots de passe LastPass. Cette faille a eu des répercussions notables, notamment dans l’écosystème de la cryptomonnaie, où des millions de dollars ont été dérobés.
LastPass face à une brèche de sécurité
En décembre 2022, LastPass, un logiciel de gestion de mots de passe, a dévoilé avoir découvert une faille de sécurité inquiétante en août 2022.
En pratique, cette brèche a permis à un attaquant de dérober une sauvegarde des données chiffrées du coffre-fort des clients. Au moment des faits, LastPass avait averti ses clients que les données pourraient potentiellement être déchiffrées si l’attaquant venait à trouver le mot de passe principal du compte via une attaque brute force.
Suite à cette découverte, LastPass a rapidement conseillé à ses utilisateurs de changer leurs mots de passe maîtres et d’activer l’authentification à deux facteurs. Malgré ces mesures, l’ampleur de la brèche aura tout de même entraîné des conséquences néfastes.
Répercussions dans l’écosystème crypto
La faille de LastPass a eu des conséquences directes sur le monde des cryptomonnaies. En effet, de nombreux utilisateurs utilisaient LastPass pour stocker les clés de leurs portefeuilles cryptos.
Même des mois après la découverte de la faille, celle-ci fait encore des ravages. Ainsi, le crypto-détective, ZachXBT a révélé que le 25 octobre, au moins 4,4 millions de dollars ont été dérobés suite à cette faille.
« Rien que le 25 octobre 2023, plus de 25 victimes ont perdu 4,4 millions de dollars à la suite du piratage de LastPass. Nous ne saurions trop insister sur ce point : si vous pensez avoir stocké votre seed phrase ou vos clés dans LastPass, migrez immédiatement vos actifs cryptographiques. »
La liste des adresses affectées peut être retrouvée dans le rapport publié par Taylor Monahan, un développeur de MetaMask.
De surcroît, ce rapport ne fait état que des mouvements ayant eu lieu le 25 octobre. Avant cela, Taylor avait déjà identifié une longue liste d’adresses affectées. Au total, plus de 150 personnes différentes ont été impactées. Le montant du préjudice s’élève à au moins 35 millions de dollars.
De son côté, depuis le 3 janvier dernier, LastPass fait l’objet d’un recours collectif déposé auprès du tribunal du Massachusetts. Cette action a réuni plusieurs plaignants, accusant LastPass d’avoir entraîné la perte de plus de 53 000$ en Bitcoin.
Ces évènements rappellent qu’il faut s’armer de prudence dans l’écosystème des cryptomonnaies. En effet, les hackers redoublent d’ingéniosité pour dérober vos cryptos. Récemment, les clients de Trezor ont par exemple été ciblés par une vague d’attaques phishing. Prudence est mère de sûreté.
