Publié le 11 février 2026 à 03h34. Après une violation de données majeure en 2022, le gestionnaire de mots de passe LastPass affirme avoir renforcé considérablement ses mesures de sécurité, allant, selon son PDG, au-delà des normes habituelles de l’industrie.
- Karim Toubba, PDG de LastPass, estime que la violation de données de 2022 a servi de catalyseur pour des changements profonds au sein de l’entreprise.
- Les normes de sécurité de LastPass ont été revues et renforcées à tous les niveaux, touchant les processus, la technologie et les ressources humaines.
- LastPass a lancé de nouveaux services ciblant à la fois les particuliers et les entreprises, notamment des outils de contrôle de l’authentification et de surveillance des applications SaaS.
L’entreprise LastPass, basée à Boston, Massachusetts, est un acteur majeur dans le domaine de la sécurité et de la gestion des identités numériques, notamment grâce à son coffre-fort de mots de passe. Fondée en 2008, l’entreprise a été acquise par GoTo (anciennement LogMeIn) en 2015 avant de redevenir une entité indépendante en 2024.
L’année 2022 a été marquée par une série d’incidents de sécurité pour LastPass, débutant en août avec l’accès non autorisé à une partie de son environnement de développement. Un compte de développeur compromis a permis à des attaquants de voler une partie du code source et des données techniques de l’entreprise. Cette première intrusion n’a pas été un incident isolé.
Les informations dérobées lors de cette attaque initiale ont conduit à d’autres compromissions, notamment le vol d’informations de base sur les comptes clients, telles que les noms, les adresses de facturation, les adresses e-mail, les numéros de téléphone et les adresses IP. Plus grave encore, une copie de sauvegarde des données du coffre-fort client a été compromise. Bien que ces données aient été cryptées, les attaquants ont réussi à dérober un mot de passe principal sur l’ordinateur personnel d’un ingénieur senior.
Ces événements ont mis à rude épreuve la confiance des utilisateurs et ont soulevé des questions sur la sécurité des gestionnaires de mots de passe en général. L’arrivée de Karim Toubba au poste de PDG en 2022 a marqué le début d’une transformation profonde de l’entreprise.
Selon M. Toubba, l’entreprise a entrepris une reconstruction complète, investissant massivement dans l’amélioration de ses systèmes et de ses processus.
« J’aime dire aux clients qu’il est plus facile de leur dire ce qui n’a pas changé au cours des trois ou quatre dernières années que ce qui a changé. »
Karim Toubba, PDG de LastPass
Les efforts de LastPass se sont concentrés sur trois axes principaux : les personnes, les processus et la technologie. Des fonds importants ont été alloués à la modernisation de l’infrastructure, à la migration vers le cloud et à la mise en place de contrôles de sécurité renforcés à tous les niveaux. L’entreprise a également accordé une attention particulière à la sécurité des appareils utilisés par ses employés, imposant des restrictions sur les applications autorisées et déployant des mesures d’authentification matérielle, telles que les dongles YubiKey.
Le programme de formation des employés a été entièrement revu, et une équipe de sécurité dédiée a été constituée. LastPass a également fait appel à des tiers pour réaliser des audits de sécurité réguliers, incluant des tests d’intrusion.
Récemment, LastPass a lancé de nouveaux services, notamment des outils de contrôle de l’authentification pour lutter contre la prolifération des applications SaaS non autorisées (les fameuses « shadow IT ») et des solutions pour surveiller l’utilisation d’outils d’intelligence artificielle par les employés. L’entreprise entend continuer à équilibrer son offre pour les marchés grand public et professionnel, en allant au-delà de la simple gestion des identifiants pour offrir une visibilité plus large sur les défis de sécurité auxquels sont confrontées les entreprises.
« Nous avons réalisé un investissement de plusieurs millions de dollars sur plusieurs années et nous sommes allés au-delà de ce que l’on attend normalement d’un programme de sécurité standard. Nous sommes fiers du travail exemplaire qui ne conduit pas seulement à une sécurité accrue, mais nous amène également à devenir leader au sein de l’industrie en ce qui concerne le leadership, la transparence et le partage d’informations. […] Donc, je dirais que le nouveau LastPass amélioré, si vous voulez, place la sécurité au cœur même de ce que nous faisons pour le consommateur. »
Karim Toubba, PDG de LastPass
Si les améliorations apportées par LastPass sont indéniables, la question de savoir si elles suffiront à restaurer la confiance des clients reste ouverte. La transparence et la démonstration d’un engagement constant envers la sécurité seront essentielles pour l’avenir de l’entreprise.
Comment renforcer la sécurité de votre iPhone.
Les meilleurs gestionnaires de mots de passe de 2026 : testés par des experts.
Le meilleur logiciel antivirus de 2026.