LastPass : des utilisateurs rapportent des activités suspectes sur leurs comptes

29 décembre 2021 à 11h00
7
LastPass

Plusieurs utilisateurs du gestionnaire de mots de passe LastPass ont rapporté avoir reçu un email les prévenant de tentatives de connexion sur leur compte à l’aide de leur mot de passe maître.

LastPass assure de son côté ne pas avoir été compromis et que les attaques détectées sont du credential stuffing. L’entreprise avance aussi la possibilité que l’envoi de certaines de ces alertes était dû à une erreur.

Des tentatives de connexion à l'aide des véritables mots de passe maîtres des utilisateurs

Plusieurs utilisateurs se sont emparés de Twitter, Reddit ou encore Hacker News ces dernières heures pour rapporter qu’ils ont reçu un email de LastPass leur indiquant qu’une tentative de connexion avait été réalisée sur leur compte. « Quelqu’un vient d’utiliser votre mot de passe maître pour essayer de se connecter à votre compte depuis un appareil ou un lieu que nous n’avons pas reconnu. LastPass a bloqué la tentative, mais vous devriez y regarder de plus près. Était-ce vous ? » peut-on y lire, sous-entendant que les véritables mots de passe maîtres des utilisateurs ont été utilisés dans ces tentatives de connexion.

En comparant les emails reçus, plusieurs d’entre eux se sont rendu compte que les adresses IP indiquées dans le mail étaient similaires et semblaient provenir du Brésil, quand d’autres rapportaient des tentatives de connexion depuis d’autres pays. La majorité de ces utilisateurs affirment que leur mot de passe maître, qui leur sert à se connecter au gestionnaire de mots de passe, était unique à la plateforme et n’était stocké à aucun autre endroit, laissant rapidement craindre une brèche de sécurité au sein de LastPass.

D’autres témoignages d’utilisateurs indiquent qu’après avoir modifié leur mot de passe maître, ces derniers continuaient à recevoir des emails les prévenant d’une tentative de connexion, comme si leur nouveau de mot de passe avait été immédiatement compromis.

LastPass essaie de rassurer ses utilisateurs

Malgré les affirmations des utilisateurs, LastPass a rapidement communiqué pour nier que le service avait été compromis. À la place, le gestionnaire a indiqué que l’activité était le fait de bots, qui s’engageaient dans des attaques de type credential stuffing.

Le credential stuffing, ou bourrage d’identifiant, est un type d'attaque lors duquel des tentatives de connexion sont réalisées automatiquement en utilisant des paires adresse email/mot de passe issues de listes récupérées lors d’attaques précédentes.

Les attaquants essaient d’utiliser des identifiants obtenus lors d’une brèche d’un service pour se connecter sur un autre service, en pariant sur le fait que les utilisateurs ont réutilisé leurs identifiants à plusieurs endroits. Un peu plus tard, l’entreprise a poursuivi au sujet du credential stuffing, tout en indiquant que certaines des alertes de sécurité étaient probablement dues à une erreur, corrigée depuis.

Bob Diachenko, un chercheur en sécurité, a de son côté indiqué que les adresses mail et mots de passe des utilisateurs ayant reçu des alertes de sécurité n’étaient pas présents dans les logs du malware Redline Stealer, rendus publics récemment et qui contiennent des milliers de paires d’identifiants LastPass selon lui.

LastPass se veut rassurant et assure n’avoir aucune preuve que des comptes d’utilisateurs ont été compromis à la suite de ces possibles attaques. Si le doute persiste donc encore sur les raisons de ces envois d’alertes de sécurité, qu’ils soient dus à du credential stuffing ou à une simple erreur, il reste conseillé aux utilisateurs de LastPass de prendre les précautions habituelles en attendant de plus amples informations : changer leur mot de passe maître et activer l’authentification à multiples facteurs.

Compatible Windows et MacOS mais aussi avec de nombreux navigateurs, LastPass est un gestionnaire de mots de passe très facile à utiliser. Sa version gratuite permet de sauvegarder vos mots de passe, mais aussi vos informations sensibles.
Lire la suite

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
7
8
sirifa
Leur fond de commerce c’est la sécurité des mots de passe. Si c’est bien vrai alors je peux comprendre leur résistance à avouer une brèche.<br /> Est-ce que c’est une veille brèche comblée et exploitée que maintenant ? (brèche qui donnait l’accès au mot de passe maître ?)
Keorl
Ou alors les gens dont le mot de passe changé a été réutilisé immédiatement ont leur PC (ou téléphone) vérolé. Je ne vois rien dans l’article qui permette d’incriminer LastPass comme l’article et le premier commentaire le sous-entendent assez lourdement.
nemo2023
La technologie de LastPass est vraiment bonne. Une très grosse partie de leur travail consiste à rendre impossible la compromission du mot de passe maître même s’il y a une brèche dans leur système.<br /> Il y a plus de chance que le texte de l’email soit l’erreur. Autrement dit, ils recoivent le fait que c’est le mot de passe maître qui est compromis alors qu’il s’agit d’une tentative d’accès par credential stuffing (tests multiples speudo aléatoire).<br /> La faute du stagiaire ? Ou tout simplement que le texte ne fait pas parti des tests automatisés…
Azael
Encore un fois un gestionnaire de mot de passe en local est le plus sécurisé
MPM2019
Oui possible (et encore faut s y connaitre en sécurité) mais tellement moins pratique.
bmustang
pas de souci avec bitwarden en local sur un nas qnap, j’emporte mon coffre en mode déconnecté sur mon mobile et se synchronise à mon retour si j’ai fait une modification.
Hulk69
J’ai change depuis plus d’un an sur edge (gratuit et plus pratique) et j’avais oublie mon compte lastpass. Pour plus de sécurité je viens de le détruire.<br /> le lien pour éradiquer son compte:<br /> https://lastpass.com/delete_account.php
Voir tous les messages sur le forum

Lectures liées

Antitrust : Intel gagne contre les régulateurs européens sur une affaire vieille de 12 ans
Amazon arrête de payer ses salariés en échange de commentaires positifs sur les réseaux sociaux
Cookies : après le flop du FLoC, Google tente une nouvelle approche avec Topics
Microsoft : Office et le Cloud tirent les résultats vers le haut
WordPress : 93 thèmes et plugins corrompus mettent en danger plus de 360 000 sites
2021, l'année des semi-conducteurs : le secteur a progressé de plus de 25 % malgré les pénuries
Dans son procès contre Apple, Epic ressort la carte du droit antitrust
Amazon va ouvrir une boutique dans laquelle vous serez habillé... par des algorithmes
Diablo et Call of Duty bientôt exclusifs à Xbox ? Microsoft se paye Activision Blizzard
Spendesk devient la 5e licorne française du mois ; que fait-elle ?
Haut de page