Source: ICO (ico.org.uk) — L’autorité britannique a annoncé le 11 décembre 2025 une amende de 1,2 M£ à l’encontre de LastPass UK Ltd, à la suite de l’incident de 2022 ayant exposé les données personnelles d’environ 1,6 million d’utilisateurs au Royaume‑Uni. L’ICO souligne des mesures techniques et organisationnelles insuffisantes, tout en précisant que les mots de passe chiffrés des utilisateurs n’ont pas été déchiffrés grâce au système « zéro connaissance ».
• Incident 1 (août 2022) : un ordinateur portable professionnel d’un employé est compromis, donnant accès à l’environnement de développement. Aucune donnée personnelle n’est volée, mais des identifiants chiffrés de l’entreprise sont dérobés. LastPass estime alors que les clés de chiffrement restent sûres, stockées dans les coffres de quatre cadres.
• Incident 2 : le pirate cible ensuite un cadre disposant de ces clés via une vulnérabilité connue d’un service tiers de streaming sur son appareil personnel. Un keylogger est installé, le mot de passe maître est capturé, et l’authentification multifacteur est contournée via un cookie d’appareil de confiance. L’attaquant accède aux coffres personnel et professionnel (liés par un mot de passe maître unique), récupère la clé d’accès AWS et la clé de déchiffrement, puis extrait le contenu de la base de sauvegarde.
Impact : l’exfiltration comprend des informations personnelles telles que noms, e‑mails, numéros de téléphone et URLs de sites enregistrés. L’ICO insiste sur le fait que les coffres et mots de passe des clients ne sont pas déchiffrés, le modèle « zero knowledge » stockant le mot de passe maître uniquement sur l’appareil de l’utilisateur.
Position de l’ICO et rappel : John Edwards réaffirme l’utilité des gestionnaires de mots de passe mais pointe la nécessité de restreindre strictement les accès pour réduire les risques. L’ICO appelle les entreprises britanniques à revoir d’urgence leurs systèmes et procédures, renvoyant vers ses ressources et celles du NCSC (guides sécurité, télétravail, sécurité des appareils). Article de sanction réglementaire et de sensibilisation.
IOCs et TTPs observés:
- IOCs: non fournis.
- TTPs:
- Compromission d’un poste utilisateur (ordinateur portable professionnel), accès à l’environnement de développement.
- Exploitation d’une vulnérabilité connue dans un service tiers de streaming sur un appareil personnel.
- Installation d’un keylogger (capture du mot de passe maître).
- Contournement MFA via cookie d’appareil de confiance.
- Accès aux coffres personnel et professionnel liés par un mot de passe maître unique.
- Récupération de la clé d’accès AWS et de la clé de déchiffrement depuis le coffre professionnel.
- Exfiltration du contenu de la base de sauvegarde (données personnelles).
🔗 Source originale : https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2025/12/password-manager-provider-fined/