LastPass poursuivi pour 200 000 $ après un vol de cryptomonnaies suite à une violation de données
Violation de coffre-fort numérique : LastPass poursuivi pour un vol de cryptomonnaie de 200 000 $ en pleine crise de sécurité croissante
Une bataille juridique mettant en lumière la confiance fragile entre les utilisateurs et les gestionnaires de mots de passe pourrait remodeler toute une industrie
Dans ce qui équivaut à un braquage de banque numérique, un investisseur anonyme en cryptomonnaie a déposé une plainte fédérale contre LastPass, affirmant que la négligence en matière de sécurité de la société de gestion de mots de passe avait permis à des voleurs de siphonner 200 000 $ d'Ethereum de son portefeuille numérique. L'affaire, déposée auprès du tribunal de district des États-Unis pour le district ouest de Washington, représente le dernier coup porté à une entreprise déjà sous le choc de multiples défis juridiques liés à sa catastrophique violation de données de 2022.
Le coffre-fort de crypto qui n'en était pas un
Le plaignant, qui avait stocké sa précieuse phrase de récupération (seed phrase) de portefeuille Ethereum dans ce qu'il croyait être un coffre-fort numérique sécurisé, allègue que LastPass n'a pas informé les utilisateurs de la véritable gravité de son incident de sécurité de 2022. Cette violation, qui semblait initialement contenue, a finalement entraîné le vol de données cryptées de coffre-fort client contenant des identifiants sensibles.
« Il ne s'agit pas seulement d'argent perdu, mais d'une trahison de la confiance fondamentale », a déclaré un expert en cybersécurité familier avec l'affaire, s'exprimant sous couvert d'anonymat. « Les utilisateurs ont placé leurs clés numériques les plus précieuses dans ce qui était présenté comme une forteresse impénétrable, pour découvrir que les murs avaient été compromis pendant des mois. »
La plainte soutient que la violation de LastPass a permis aux attaquants d'obtenir la phrase de récupération du plaignant — en substance la clé maîtresse de ses avoirs en cryptomonnaie — menant au vol de février 2024. Les enquêteurs de la police locale ont lié l'incident directement à la violation de LastPass, selon les documents judiciaires.
Une défaillance de sécurité en cascade
Ce qui a commencé comme un compromis apparemment limité en août 2022 — un accès non autorisé à l'ordinateur portable professionnel d'un seul ingénieur — s'est transformé en ce que les chercheurs en sécurité décrivent désormais comme l'une des violations de données les plus importantes de mémoire récente.
Les documents judiciaires révèlent une chronologie troublante : les attaquants ont d'abord exfiltré du code source et des informations techniques, puis ont exploité ces connaissances pour accéder aux sauvegardes cryptées des coffres-forts clients d'ici novembre 2022. Malgré les assurances initiales de LastPass selon lesquelles les données des coffres-forts restaient sécurisées, la société a par la suite reconnu que les informations volées pouvaient être déchiffrées si les attaquants parvenaient à deviner les mots de passe maîtres des utilisateurs par des attaques par force brute.
« Les défaillances techniques ici étaient multiples », a déclaré un enquêteur en criminalistique numérique qui a analysé des cas similaires. « LastPass utilisait seulement 100 100 itérations de l'algorithme PBKDF2 pour protéger les mots de passe, bien en dessous de la norme industrielle de 310 000 itérations recommandée par les experts en sécurité. »
Cette lacune technique a considérablement réduit l'effort de calcul requis pour que les attaquants déchiffrent les mots de passe maîtres, créant ce qu'un chercheur en sécurité a décrit comme « la tempête parfaite de normes de chiffrement vulnérables et de divulgation de violation inadéquate ».
D'un incident isolé à un grand règlement de comptes pour l'industrie
La dernière action en justice s'ajoute à un chœur croissant de poursuites contre LastPass. Les chercheurs en sécurité ont maintenant lié plus de 35 millions de dollars de vols de cryptomonnaies auprès de plus de 150 victimes à la violation de LastPass, suggérant une opération coordonnée et à grande échelle menée par des acteurs de menace sophistiqués.
Plus inquiétant encore pour LastPass et ses propriétaires de capital-investissement, Francisco Partners et Elliott, une récente déclaration sous serment du Département de la Justice a lié un vol de cryptomonnaies de 150 millions de dollars à des coffres-forts LastPass compromis, conférant une crédibilité fédérale à ce que l'entreprise avait précédemment qualifié d'incidents isolés.
« Ce à quoi nous assistons est l'effondrement du modèle de sécurité traditionnel des gestionnaires de mots de passe », a expliqué un consultant en sécurité numérique qui conseille les investisseurs institutionnels. « L'hypothèse selon laquelle les coffres-forts cryptés resteraient sécurisés même en cas de vol s'est avérée catastrophiquement fausse. »
Tremblements du marché et changements d'investissement
Les retombées s'étendent bien au-delà de LastPass. L'affaire a déclenché une réévaluation plus large des risques de sécurité dans l'ensemble de l'industrie de la gestion de mots de passe, les investisseurs et les utilisateurs privilégiant de plus en plus des solutions basées sur des architectures de sécurité différentes.
Des alternatives open source comme Bitwarden ont connu une adoption croissante, tandis que des fournisseurs de sécurité basés sur le matériel comme Yubico — qui a récemment été coté sur le marché principal de Stockholm — ont signalé une croissance de plus de 40 % en glissement annuel des ventes unitaires suite aux incidents LastPass.
« Le marché connaît un recalibrage fondamental du risque », a noté un analyste en investissement technologique. « Le capital se dirige vers des solutions dont la sécurité est prouvée — celles avec des bases de code open source qui peuvent être auditées indépendamment ou celles utilisant une sécurité ancrée dans le matériel qui sépare physiquement les clés de chiffrement des services cloud. »
Tableau : Résumé du Business Model Canvas de LastPass (2025)
| Bloc de construction | Détails clés |
|---|---|
| Partenaires Clés | MSPs, fournisseurs d'identité, partenaires technologiques |
| Activités Clés | Développement produit, sécurité, ventes indirectes, support client |
| Ressources Clés | Plateforme cloud, équipes de sécurité, marque, PI, base de clients |
| Propositions de Valeur | Gestion sécurisée et facile des mots de passe pour les entreprises et les particuliers |
| Relations Clients | Intégration en libre-service, support dédié, formation, communauté |
| Canaux | Ventes directes, partenaires, en ligne, boutiques d'applications |
| Segments de Clients | Grandes entreprises, PME, MSPs, particuliers, familles |
| Structure de Coûts | R&D, opérations cloud, support, ventes/marketing, conformité |
| Flux de Revenus | Abonnements (B2B, B2C), modules complémentaires, revenus de canaux |
| Produits Phares | LastPass Business, Teams, Premium, Families, Plan Gratuit |
| Données Financières (2025) | Revenu annuel estimé : 149,4 millions de dollars ; fortes marges SaaS, rentabilité non divulguée publiquement |
La dette technique arrive à échéance
La plainte met en lumière des défaillances techniques spécifiques qui auraient contribué à la gravité de la violation. Au-delà des normes de chiffrement inadéquates, les plaignants affirment que l'architecture backend de LastPass a créé des points de défaillance uniques critiques, les identifiants compromis d'un ingénieur DevOps ayant finalement permis l'accès aux sauvegardes des coffres-forts clients.
Les critiques soulignent également la mise en œuvre tardive par LastPass de la technologie des passkeys — une alternative plus sécurisée aux mots de passe que les principaux concurrents avaient déjà adoptée. La société n'a lancé le support beta des passkeys que fin 2024, bien après ses concurrents et plus de deux ans après la violation initiale.
« C'est ce qui arrive lorsque les entreprises de sécurité privilégient la croissance au détriment des fondamentaux », a déclaré un ancien dirigeant de la sécurité d'une firme concurrente. « La dette technique s'accumule silencieusement jusqu'à ce qu'elle se dénoue de manière catastrophique. »
Exposition financière et perspectives d'avenir
Avec environ 33 millions d'utilisateurs particuliers et 100 000 comptes professionnels, LastPass fait face à une exposition financière substantielle. Les analystes de l'industrie estiment la couverture d'assurance cyber de l'entreprise à moins de 50 millions de dollars — potentiellement insuffisante pour couvrir les responsabilités légales si les tribunaux consolident les diverses poursuites en un litige multi-districts.
Pour les propriétaires de capital-investissement de LastPass, qui ont acquis la société dans le cadre d'une opération de scission en 2021, le calcul financier semble de plus en plus difficile. Les analystes prévoient que le taux de désabonnement des clients pourrait faire baisser le revenu annuel récurrent de 20 % ou plus, tandis que le total des règlements de litiges pourrait dépasser 500 millions de dollars si l'on tient compte des dommages-intérêts compensatoires et punitifs.
La voie à suivre : Gagnants et perdants
À mesure que le processus juridique se déroule, plusieurs développements clés façonneront le paysage de l'industrie. La décision du tribunal sur la consolidation des litiges multi-districts, attendue au T3 2