LastPass, le gestionnaire de mots de passe bien connu, a récemment finalisé sa séparation d’avec sa société mère, GoTo, anciennement connue sous le nom de LogMeIn. Annoncée initialement en décembre 2021, cette scission représente un tournant décisif pour LastPass qui entame ainsi son parcours en solo.
Cette décision intervient après une série d’attaques de grande ampleur, poussant la nouvelle entité à renforcer ses mesures de sécurité. Afin d’améliorer sa résistance, LastPass a mis en place des mesures plus strictes, incluant notamment l’obligation d’utiliser des mots de passe d’au moins 12 caractères.
Karim Toubba, qui était le PDG au moment des attaques, conserve son poste à la tête de la société désormais indépendante, malgré les critiques liées à ces incidents de sécurité.
Toubba a déclaré : « Ensemble, nous sommes tous engagés à offrir des solutions qui ne font aucun compromis sur la sécurité, la qualité ou la performance — contribuant à établir de nouvelles normes dans le paysage de la cybersécurité au nom de nos précieux clients, de nos employés dévoués, et de l’industrie pour les années à venir ».
Pour renforcer ses capacités de défense, LastPass a également créé une équipe dédiée à l’intelligence des menaces, laquelle a contribué à une réduction de 98 % des identifiants disponibles à la vente par des malwares de vol d’informations en 2023.
LastPass souligne ses bases financières
Dans son annonce, LastPass a également affirmé que la société « repose sur des bases financières solides », faisant allusion à des investissements futurs dans la technologie et la recherche et développement. La propriété de LastPass a été reprise par les sponsors en capital-investissement Francisco Partners et Elliott Management.
Toubba a ajouté : « Notre chemin en tant que compagnie indépendante est rempli d’excitation et de gratitude ». La compagnie reste basée à Boston, ville où se trouve également le siège de GoTo, son ancienne maison mère, mais elle occupe désormais ses propres locaux.
Rappel historique des problèmes de sécurité
Les problèmes les plus récents de LastPass ont commencé à la fin de l’année 2022, lorsque la société a admis que des pirates avaient volé le code source en août de cette année-là, puis a révélé en novembre que les pirates avaient eu accès à « certains éléments » des « informations des clients », mais a insisté sur le fait que leurs mots de passe étaient en sécurité. Cette affirmation est sujette à interprétation, car les pirates se sont emparés d’une copie d’une sauvegarde des coffres-forts des mots de passe des clients, ainsi que des clés de chiffrement pour au moins certains d’entre eux.
En septembre 2023, des chercheurs en sécurité ont déclaré que plusieurs indices indiquaient que ce piratage avait été utilisé pour voler plus de 35 millions de dollars dans les portefeuilles de crypto-monnaie de plus de 150 victimes. L’un de ces indices était que chacun de ces clients avait apparemment stocké sa « seed phrase » — une clé numérique nécessaire pour accéder aux investissements en crypto-monnaies — dans LastPass.
