TL;DR : L’essentiel
- L’accord préliminaire validé début février prévoit une enveloppe globale dépassant les 8 millions de dollars. Ce montant vise à compenser les préjudices subis par les utilisateurs résidant sur le territoire américain.
- Les victimes prouvant des pertes matérielles peuvent prétendre à 300 dollars. Pour les dommages exceptionnels, le plafond grimpe à 10 000 dollars, sous réserve de fournir des justificatifs précis au tribunal compétent.
- Un fonds spécifique de plus de 16 millions de dollars est dédié aux pertes en cryptomonnaies. Chaque membre concerné pourrait percevoir jusqu’à 900 000 dollars après analyse par un expert judiciaire.
- Outre les versements monétaires, LastPass offre six mois d’abonnement premium aux sinistrés. Une surveillance automatisée du dark web est également incluse pour limiter les risques futurs de compromission d’identité numérique.
L’épilogue judiciaire d’une des cyberattaques les plus commentées de ces dernières années semble se dessiner. En février 2026, la justice a donné son feu vert préliminaire à un règlement financier massif pour clore l’action de groupe visant le gestionnaire de mots de passe LastPass. Cette décision fait suite à l’intrusion critique survenue durant l’été 2022, une période durant laquelle la sécurité des coffres-forts numériques de millions d’utilisateurs a été ébranlée. L’incident n’était pas une simple fuite de données isolée, mais une opération sophistiquée ayant permis à un tiers non autorisé d’extraire des éléments structurels de l’entreprise pour ensuite s’attaquer aux données de production hébergées à distance.
L’infrastructure cloud compromise par une exfiltration technique
La genèse de cette crise repose sur un mécanisme d’escalade particulièrement précis. Selon les documents judiciaires consultés, l’acteur malveillant est parvenu à dérober des volumes considérables de code source et d’informations techniques internes de LastPass. Ces actifs ont servi de plan de construction pour mener une seconde offensive. Munis de ces informations confidentielles, les assaillants ont pu extraire les clés d’accès nécessaires pour pénétrer dans les services de stockage basés sur le cloud, une infrastructure distante où les données sont sauvegardées de manière dématérialisée. Cette méthode a exposé des noms, des adresses, des coordonnées de contact ainsi que des mots de passe liés à des comptes personnels et financiers.
L’accusation portée par les plaignants soulignait que le service de gestion des accès de LastPass avait mis en œuvre des pratiques de sécurité insuffisantes pour protéger les informations confidentielles de ses clients, qu’ils soient des particuliers ou des entités professionnelles. La faille technique a permis à un groupe de cybercriminels de copier et de voler des données actives au moment de l’incident. Comme le rapporte ClassAction.org, ce manquement à l’obligation de protection est au cœur de l’indemnisation record aujourd’hui proposée. L’exfiltration massive de données a nécessité une réponse juridique d’envergure pour adresser les conséquences de cette compromission de la sphère privée.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Un barème d’indemnisation gradué selon la nature du préjudice
Le règlement amiable prévoit plusieurs options de remboursement par LastPass pour les membres de l’action de groupe ayant maintenu un compte actif lors de la violation. Les utilisateurs capables de fournir des preuves documentées de pertes ordinaires, telles que les frais de surveillance du crédit ou les services de restauration d’identité, peuvent recevoir un versement unique allant jusqu’à 300 dollars. Pour ceux ayant subi des conséquences financières bien plus lourdes, qualifiées de pertes extraordinaires, le plafond de remboursement est fixé à 10 000 dollars par dossier, à condition que ces frais n’aient pas déjà été couverts par d’autres mécanismes d’indemnisation.
En l’absence de preuves tangibles de pertes financières, les membres concernés peuvent tout de même opter pour un paiement statutaire forfaitaire de 25 dollars. Cette flexibilité permet de reconnaître la compromission des données sans exiger une bureaucratie complexe pour chaque utilisateur. En parallèle, les résidents de Californie bénéficient d’une protection supplémentaire. En vertu des dispositions spécifiques de la loi sur la protection de la vie privée des consommateurs de cet État, ils sont éligibles à un versement additionnel de 100 dollars. Ce cumul de bénéfices illustre la volonté de la cour de sanctionner proportionnellement l’atteinte à la sécurité des données selon les législations locales en vigueur.
La gestion spécifique des pertes d’actifs en cryptomonnaies
L’aspect le plus singulier de cet accord avec LastPass réside dans le traitement des pertes d’actifs numériques. Un fonds distinct, plafonné à plus de 16 millions de dollars, a été instauré pour compenser les vols de cryptomonnaies directement imputables à la faille de sécurité. Chaque utilisateur peut soumettre une demande d’indemnisation pouvant atteindre 900 000 dollars. La validité de ces réclamations sera évaluée par un expert judiciaire spécialisé dans les technologies de chaînes de blocs, chargé de déterminer le lien de causalité entre la violation des coffres-forts LastPass et la disparition des actifs numériques.
Malgré ces avancées, la distribution effective des fonds de LastPass ne débutera qu’après l’audience de validation finale et l’épuisement des éventuelles procédures d’appel. En attendant, tous les membres de la classe se voient offrir une mise à niveau gratuite de six mois vers un abonnement premium, incluant une surveillance active des forums illégaux où s’échangent les données volées. Cette mesure technique vise à redonner un certain contrôle aux utilisateurs sur leur identité numérique. Le processus de réclamation sera centralisé sur un portail dédié dont le lancement officiel marquera le début de la phase opérationnelle de ce règlement historique pour l’industrie de la cybersécurité.
Pour approfondir le sujet
Record vols crypto 2025 : 158 milliards dérobés via Bybit et LastPass
Le rapport crypto criminalité 2026 révèle un record de vols crypto en 2025 : 158 milliards de dollars perdus. Du piratage Bybit 2025 à la faille LastPass crypto, analysez les menaces. Lire la suite
LastPass hacké : comment une faille de 2022 a coûté 150 millions en 2024
En 2024, le cofondateur de Ripple a perdu plus de 100 millions de dollars …. à cause d'une faille LastPass de 2022! Lire la suite
Pourquoi l'incident de Lastpass est plus grave qu'annoncé initialement
En août dernier, le gestionnaire de mots de passe LastPass a annoncé avoir subi une intrusion dans son réseau. L'incident s'avère aujourd'hui plus grave. Lire la suite
Cette veille vous a été utile ?
Un café = un mois de serveur. Aidez DCOD à rester gratuit et indépendant.
