La fuite de données chez LastPass, à propos de laquelle l’entreprise n’a confirmé qu’après quelques mois que des données de clients avaient été divulguées, se traduit à présent pour elle par un procès collectif aux États-Unis pour manque de sécurité.
Lastpass avait signalé fin août que des hackers s’étaient introduits dans son environnement de développement. L’entreprise n’a pas tardé à affirmer que les données des clients étaient en sécurité. Seules certaines parties de l’environnement de développement étaient accessibles et des fragments du code source auraient été volées. Cette explication fut répétée un mois plus tard: les pirates avaient eu accès pendant quatre jours à l’environnement de développement, mais pas aux données des clients.
Quatre mois après l’incident, LastPass a cependant été forcée de revenir sur ses propos. Une enquête plus approfondie a en effet révélé que des données de clients et des coffres-forts de mots de passe avaient été volés. Ceux-ci sont certes sécurisés au moyen du cryptage 256-AES, mais cela n’empêche pas qu’il soit plus facile de pénétrer par intrusion dans un compte ou d’essayer de deviner ou de dérober des mots de passe.
Voilà qui vaut désormais au gestionnaire de mots de passe un procès de groupe. Dans l’état américain du Massachusetts, une personne inconnue met en effet l’entreprise en accusation. Cette personne affirme en effet que LastPass a eu recours à de piètres pratiques de sécurité et qu’un certain nombre de clés privées bitcoin ont été volées par les hackers, ce qui leur a donné accès à quelque 53 000 dollars en crypto-espèces, selon la plainte.
Il s’agit là de ce qu’on appelle un procès collectif (‘class action’), ce qui signifie que d’autres utilisateurs (américains) peuvent s’y joindre et réclamer une indemnisation. Mais il leur faudra alors démontrer que LastPass utilisait une piètre sécurité au moment du piratage.
