LastPass frappé une nouvelle fois par la brèche Klue : données de contact clients exposées

25/6/26
👈 les autres actualités

Trois ans après le piratage catastrophique de 2022, LastPass fait à nouveau les manchettes de la presse spécialisée. Cette fois, ce n'est pas le coffre-fort de mots de passe qui a été compromis, mais les données personnelles de contact de ses clients — noms, adresses e-mail, numéros de téléphone, adresses postales — via un fournisseur tiers défaillant : Klue. Un scénario qui illustre parfaitement le risque sous-traitant que tout DPO doit maîtriser.

Ce qui s'est passé

Dans un article de blog publié le 24 juin 2026, LastPass a révélé que Klue, une plateforme d'études de marché tierce utilisée pour s'intégrer à ses systèmes Salesforce et Gong, avait été piratée. Les attaquants ont mis la main sur les jetons OAuth que Klue utilise pour accéder aux données clients de LastPass sur ces deux plateformes.

Le butin : noms, numéros de téléphone, adresses e-mail, adresses postales, données de tickets de support et informations commerciales de clients LastPass. La bonne nouvelle — relative — est qu'aucun coffre-fort de mots de passe ni aucun mot de passe maître n'a été compromis. Mais pour les utilisateurs européens de LastPass, le dommage est réel : leurs coordonnées personnelles circulent désormais entre des mains inconnues.

LastPass n'est pas la seule victime. L'attaque, revendiquée par le groupe de ransomware Icarus, a également frappé Gong, Jamf, HackerOne, Insurity, OneTrust, Recorded Future, Snyk, Sprout Social et Tanium. Klue était le maillon commun — un fournisseur SaaS apparemment anodin, intégré à des dizaines de stacks d'entreprise via des tokens OAuth rarement audités.

Pourquoi c'est important — contexte RGPD

Cet incident s'inscrit dans une série d'attaques par supply chain SaaS qui exposent une fragilité structurelle : les tokens OAuth dormants accordés à des tiers sont devenus l'angle d'attaque favori des groupes ransomware. Nous avions déjà décrypté l'anatomie de l'attaque Klue et les détails du vol de données de support LastPass lors de la première vague de cet incident.

Sur le plan juridique, la situation est claire. LastPass est responsable de traitement des données de ses clients européens. Le fait que la fuite provienne d'un sous-traitant ne l'exonère pas — l'article 28 du RGPD impose une responsabilité du responsable de traitement sur l'ensemble de la chaîne de sous-traitance. Par ailleurs, l'article 33 du RGPD oblige à notifier la violation à l'autorité compétente dans les 72 heures suivant la connaissance de l'incident.

La CNIL a d'ailleurs publié récemment un scénario type de violation via sous-traitant qui correspond presque exactement à ce cas de figure.

Ce que ça change pour les organisations — 4 mesures à prendre

Si votre organisation utilise LastPass ou tout autre gestionnaire de mots de passe d'entreprise, voici les quatre actions à mener sans délai.

1. Vérifier l'exposition réelle. LastPass a indiqué avoir informé les clients concernés par e-mail. Si vous n'avez pas reçu de notification, vérifiez vos dossiers de spam et contactez le support pour confirmer si vos comptes sont dans le périmètre de la fuite.

2. Auditer vos tokens OAuth et intégrations SaaS. L'incident Klue illustre le risque des intégrations dormantes. Cartographiez tous les tokens OAuth accordés à des tiers (via Salesforce, Gong, HubSpot, etc.) et révoquez ceux qui ne sont plus actifs. C'est une action de sécurité à faire régulièrement, pas seulement en réaction à un incident.

3. Évaluer l'obligation de notification CNIL. Si LastPass traite des données personnelles pour le compte de votre organisation, vérifiez votre DPA avec eux, évaluez si la violation concerne des données de vos utilisateurs ou employés, et documentez votre analyse dans votre registre des violations conformément à l'article 33 du RGPD.

4. Renforcer la vigilance phishing. Les données de contact volées constituent un kit parfait pour des campagnes de spear phishing. Informez vos équipes et renforcez les contrôles d'authentification, notamment le MFA.

Pour un cadre complet sur la gestion d'une violation de données, consultez notre guide sur les violations de données et les obligations RGPD.

Ce que Leto pense de cette décision

L'incident LastPass/Klue confirme une tendance lourde : les attaquants ne cherchent plus à percer directement les fortifications des grandes entreprises tech. Ils ciblent les fournisseurs intermédiaires, les intégrateurs SaaS, les outils marketing — des acteurs souvent moins bien sécurisés mais qui disposent d'un accès OAuth à des données sensibles.

Pour les DPO, la leçon est simple mais exigeante : l'inventaire des sous-traitants et des accès accordés ne peut plus être une formalité annuelle. C'est une discipline opérationnelle continue. La question n'est plus de savoir si votre stack SaaS sera une cible, mais quand — et si vous aurez documenté les accès accordés à chaque tiers.

Sources : ZDNet.fr — LastPass victime d'une nouvelle fuite de données · LastPass Security Blog

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026