Se faire pirater tous ses mots de passe est rarement une bonne nouvelle. Se faire pirater tous ses mots de passe et se faire voler toutes ses cryptomonnaies est sans doute pire. C’est ce qui est arrivé à des utilisateurs et utilisatrices de LastPass.

C’est un piratage qui n’en finit pas de faire parler de lui. Alors que le gestionnaire de mot de passe LastPass a été frappé par un hack d’ampleur en 2022, deux ans plus tard, les conséquences se font encore sentir. Comme l’a relevé Tom’s Guide, les identifiants dérobés via le piratage de l’entreprise ont permis à des internautes malveillants de siphonner des millions d’euros en cryptomonnaies.

D’après un spécialiste de la blockchain connu sous le nom de ZachXBT, c’est environ 5,3 millions de dollars (soit 5,1 millions d’euros en conversion brute) qui ont été siphonnés depuis une quarantaine de portefeuilles liée à des comptes LastPass. L’argent a ensuite été « blanchi » en le transformant en Ethereum et en Bitcoin. De par la nature même de la cryptomonnaie, il est quasiment impossible pour les victimes de récupérer l’argent qui a été dérobé.

Troisième cambriolage d’ampleur

Ce n’est étonnamment pas la première fois que des données issues du piratage de LastPass servent à jouer les Al Capone sur des portefeuilles de cryptomonnaies. D’après ZachXBT, un piratage similaire a eu lieu en octobre 2023 (où 4,4 millions de dollars ont été volés), puis un second en février 2024, où c’est 6,6 millions de dollars qui ont disparu.

« Si vous n’avez jamais utilisé LastPass pour stocker votre clé de récupération crypto, migrez vos actifs le plus rapidement possible », a conseillé le spécialiste de la blockchain. Le conseil vaut d’ailleurs pour tous les mots de passe potentiellement concernés par le hack de LastPass. Même si vous n’utilisez plus le service, il n’est jamais inutile de changer les mots de passe sur lesquels vous pouvez avoir des doutes.

LastPass nie

De son côté, LastPass nie être à la source de ce nouveau cambriolage de masse. Dans une déclaration faite à Tom’s Guide, le responsable de la sécurité de l’entreprise explique « ne pas avoir de preuves sérieuses qui lient le piratage de LastPass aux vols récents de cryptomonnaies. »

Si le piratage de LastPass continue de faire parler de lui, c’est que certaines pratiques de cybersécurité employées par l’entreprise laissaient à désirer. Il est bon de rappeler cependant qu’aucun système n’est inviolable et que mettre tous ses œufs dans le même panier n’est pas forcément la meilleure des solutions. Dans le cas des portefeuilles crypto, il vaut mieux, par exemple, garder sa seed phrase loin de toute solution de stockage en ligne.