LastPass visé par le hack Klue : des données du support client exposées, le risque tiers s'invite chez les gestionnaires de mots de passe

24/6/26
👈 les autres actualités

LastPass vient de notifier ses clients d'une nouvelle violation de données : les hackers à l'origine de la compromission de Klue ont accédé à des dossiers du support client du gestionnaire de mots de passe. Une affaire qui touche potentiellement des utilisateurs européens et rappelle que même les outils de sécurité ne sont pas à l'abri des failles de la chaîne d'approvisionnement.

Ce qui s'est passé

LastPass a confirmé que des attaquants ayant infiltré Klue, une plateforme de veille concurrentielle, ont pu accéder à des données de son service client. Les informations compromises incluent des données personnelles de clients et des contenus de dossiers d'assistance.

Cette attaque s'inscrit dans le prolongement de la compromission de Klue, une opération qui a déjà causé des dégâts significatifs dans le secteur technologique. L'attaque supply chain visant Klue avait déjà exposé les données Salesforce de plusieurs entreprises de cybersécurité, illustrant l'ampleur de la brèche initialement ouverte.

Pour LastPass, ce n'est pas la première fois que des données clients sont exposées. L'entreprise avait déjà subi une violation majeure en 2022, qui avait conduit à l'exfiltration de coffres-forts chiffrés. Ce nouvel incident, bien que distinct, réveille les inquiétudes sur la sécurité globale de la plateforme.

Pourquoi c'est important

LastPass est utilisé par des millions d'entreprises à travers le monde, dont de nombreuses en Europe. En tant que sous-traitant au sens du RGPD, une violation de données affectant des utilisateurs européens déclenche un ensemble d'obligations pour les responsables de traitement.

L'article 33 du RGPD impose une notification à l'autorité de contrôle compétente dans les 72 heures suivant la connaissance de la violation, lorsqu'elle est susceptible d'engendrer un risque pour les droits et libertés des personnes. L'article 34 prévoit quant à lui une communication directe aux personnes concernées si le risque est élevé.

La CNIL a publié un scénario type pour gérer une cyberattaque chez un sous-traitant, qui détaille précisément ce parcours de notification : double obligation (responsable de traitement + accompagnement des clients), organisation de crise documentée, et chaîne de notification sous 72 heures.

Pour les DPO, la question centrale est celle de la responsabilité contractuelle : votre contrat de sous-traitance avec LastPass prévoit-il des obligations claires en matière de notification d'incident, de délais et de coopération ? L'article 28 du RGPD impose ces garanties à tout sous-traitant traitant des données pour votre compte.

Ce que ça change pour les organisations

Vérifier votre exposition. Si vous avez soumis des tickets au support LastPass contenant des informations sensibles — identifiants, configurations, données utilisateurs — considérez que ces informations peuvent avoir été compromises.

Auditer votre DPA. Votre accord de traitement des données avec LastPass doit prévoir des obligations de notification en cas d'incident. Vérifiez que vous êtes bien informé dans les délais requis et que LastPass respecte ses engagements contractuels au titre de l'article 28 RGPD.

Notifier si nécessaire. Si des données personnelles de vos utilisateurs ou collaborateurs ont transité par le support LastPass, vous devez évaluer si une notification à la CNIL — voire aux personnes concernées — s'impose. Notre guide sur la violation de données détaille les critères d'évaluation à appliquer.

Renforcer votre gestion des mots de passe. Au-delà de LastPass, cet incident pose la question de la dépendance à des gestionnaires de mots de passe tiers. Notre guide sur la génération de mots de passe sécurisés en conformité RGPD rappelle les bonnes pratiques recommandées par la CNIL.

L'incident souligne également la nécessité d'un audit régulier de vos sous-traitants, y compris des outils de sécurité eux-mêmes — souvent exemptés de revue alors qu'ils concentrent les accès les plus critiques.

Ce que Leto pense de cette décision

Cet incident illustre une réalité inconfortable : les outils dédiés à la sécurité sont des cibles de choix précisément parce qu'ils concentrent des accès critiques. Confier la gestion de vos mots de passe à un tiers, c'est aussi lui confier une surface d'attaque considérable.

Les DPO ont trop souvent tendance à faire confiance aux éditeurs de solutions de sécurité sans les soumettre aux mêmes exigences contractuelles que les autres sous-traitants. Or un gestionnaire de mots de passe traite des données très sensibles et doit faire l'objet du même niveau d'exigence : DPA solide, droit d'audit, notification d'incident encadrée.

La récurrence des incidents chez LastPass devrait également alerter les DSI et les DPO : à un moment donné, les antécédents d'un prestataire deviennent un critère de qualification du risque à intégrer dans votre cartographie des sous-traitants.

Sources : DataBreaches.net — LastPass says hackers stole customer support case data during Klue breach

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026