La violation de LastPass de 2022 expliquée : ce qui a été volé, ce que cela signifie et comment migrer ailleurs
En août / novembre 2022, des attaquants ont exfiltré les sauvegardes cloud de LastPass, y compris les coffres utilisateurs chiffrés ainsi que des métadonnées non chiffrées. Voici ce qui est documenté et ce qu'il faut faire maintenant si vous avez encore un compte LastPass.
Chronologie documentée
Selon les avis d'incident publiés par LastPass : en août 2022, des attaquants ont compromis la machine d'un développeur de LastPass et accédé au code source. En novembre 2022, les attaquants ont utilisé des identifiants issus de l'incident d'août pour accéder aux sauvegardes cloud dans le stockage cloud tiers de LastPass. Ces sauvegardes contenaient les coffres clients chiffrés ainsi que des métadonnées non chiffrées — URL des coffres, adresses e-mail des comptes, informations de facturation. LastPass a divulgué le vol de données le 22 décembre 2022 (blog.lastpass.com/posts/notice-of-recent-security-incident).
Ce que le chiffrement protège réellement
Les coffres LastPass sont chiffrés avec AES-256, la clé étant dérivée du mot de passe maître via PBKDF2. La robustesse de la protection dépend (a) de l'entropie du mot de passe maître et (b) du nombre d'itérations PBKDF2. Le nombre d'itérations PBKDF2 par défaut de LastPass était de 5 000 pour les anciens comptes avant d'être porté à 100 100 en 2018. Les comptes créés avant 2018 peuvent encore avoir un faible nombre d'itérations à moins que l'utilisateur ne l'ait mis à niveau manuellement — les avis d'incident de LastPass le documentent. Un mot de passe maître faible avec un faible nombre d'itérations est forçable hors ligne ; un mot de passe maître robuste avec 100 100 itérations ou plus ne l'est pas, avec le matériel actuel.
Que faire si vous avez ou aviez un compte LastPass
Étape 1 : exportez votre coffre LastPass depuis la console web (Paramètres → Options avancées → Exporter). Étape 2 : importez-le dans Bitwarden ou 1Password (tous deux disposent d'importateurs LastPass directs documentés sur bitwarden.com/help/import-from-lastpass et 1password.com/help). Étape 3 : changez les mots de passe de tout compte à coût de divulgation élevé — financiers, e-mail, réseaux sociaux principaux. Étape 4 : activez la 2FA sur tout compte qui la prend en charge. Étape 5 : supprimez le compte LastPass depuis la console web. Si votre mot de passe maître était robuste (12 caractères aléatoires ou plus, ou une phrase secrète de 6 mots ou plus), le coffre chiffré est sûr sur le plan computationnel ; la rotation est préventive. Si votre mot de passe maître était faible, considérez les comptes à forte valeur comme compromis.
Pourquoi la violation a touché la catégorie des gestionnaires de mots de passe, et pas seulement LastPass
La violation de LastPass a incité les chercheurs en sécurité à examiner plus attentivement les choix architecturaux de toute la catégorie. Deux enseignements précis : (1) les nombres d'itérations de chiffrement ne se valent pas tous — la différence entre 5 000 et 100 100 itérations PBKDF2 est importante. Argon2id (la KDF moderne utilisée par Bitwarden et d'autres) est encore nettement plus robuste. (2) L'exposition des métadonnées (URL des comptes, adresses e-mail) est un préjudice réel pour la vie privée même lorsque le contenu du coffre reste chiffré, car les métadonnées aident un attaquant à hiérarchiser ses cibles. Les gestionnaires modernes audités limitent les métadonnées dans la couche des données au repos.
Sources
Avis d'incident officiels de LastPass : blog.lastpass.com/posts/notice-of-recent-security-incident. Importateur LastPass de Bitwarden : bitwarden.com/help/import-from-lastpass. Aide 1Password : 1password.com/help. Argon2id : password-hashing.net/argon2-specs.pdf. Toutes les URL consultées le 2026-04-30.