LastPass : des utilisateurs rapportent des activités suspectes sur leurs comptes

29 décembre 2021 à 11h00
7
LastPass

Plusieurs utilisateurs du gestionnaire de mots de passe LastPass ont rapporté avoir reçu un email les prévenant de tentatives de connexion sur leur compte à l’aide de leur mot de passe maître.

LastPass assure de son côté ne pas avoir été compromis et que les attaques détectées sont du credential stuffing. L’entreprise avance aussi la possibilité que l’envoi de certaines de ces alertes était dû à une erreur.

Des tentatives de connexion à l'aide des véritables mots de passe maîtres des utilisateurs

Plusieurs utilisateurs se sont emparés de Twitter, Reddit ou encore Hacker News ces dernières heures pour rapporter qu’ils ont reçu un email de LastPass leur indiquant qu’une tentative de connexion avait été réalisée sur leur compte. « Quelqu’un vient d’utiliser votre mot de passe maître pour essayer de se connecter à votre compte depuis un appareil ou un lieu que nous n’avons pas reconnu. LastPass a bloqué la tentative, mais vous devriez y regarder de plus près. Était-ce vous ? » peut-on y lire, sous-entendant que les véritables mots de passe maîtres des utilisateurs ont été utilisés dans ces tentatives de connexion.

En comparant les emails reçus, plusieurs d’entre eux se sont rendu compte que les adresses IP indiquées dans le mail étaient similaires et semblaient provenir du Brésil, quand d’autres rapportaient des tentatives de connexion depuis d’autres pays. La majorité de ces utilisateurs affirment que leur mot de passe maître, qui leur sert à se connecter au gestionnaire de mots de passe, était unique à la plateforme et n’était stocké à aucun autre endroit, laissant rapidement craindre une brèche de sécurité au sein de LastPass.

D’autres témoignages d’utilisateurs indiquent qu’après avoir modifié leur mot de passe maître, ces derniers continuaient à recevoir des emails les prévenant d’une tentative de connexion, comme si leur nouveau de mot de passe avait été immédiatement compromis.

LastPass essaie de rassurer ses utilisateurs

Malgré les affirmations des utilisateurs, LastPass a rapidement communiqué pour nier que le service avait été compromis. À la place, le gestionnaire a indiqué que l’activité était le fait de bots, qui s’engageaient dans des attaques de type credential stuffing.

Le credential stuffing, ou bourrage d’identifiant, est un type d'attaque lors duquel des tentatives de connexion sont réalisées automatiquement en utilisant des paires adresse email/mot de passe issues de listes récupérées lors d’attaques précédentes.

Les attaquants essaient d’utiliser des identifiants obtenus lors d’une brèche d’un service pour se connecter sur un autre service, en pariant sur le fait que les utilisateurs ont réutilisé leurs identifiants à plusieurs endroits. Un peu plus tard, l’entreprise a poursuivi au sujet du credential stuffing, tout en indiquant que certaines des alertes de sécurité étaient probablement dues à une erreur, corrigée depuis.

Bob Diachenko, un chercheur en sécurité, a de son côté indiqué que les adresses mail et mots de passe des utilisateurs ayant reçu des alertes de sécurité n’étaient pas présents dans les logs du malware Redline Stealer, rendus publics récemment et qui contiennent des milliers de paires d’identifiants LastPass selon lui.

LastPass se veut rassurant et assure n’avoir aucune preuve que des comptes d’utilisateurs ont été compromis à la suite de ces possibles attaques. Si le doute persiste donc encore sur les raisons de ces envois d’alertes de sécurité, qu’ils soient dus à du credential stuffing ou à une simple erreur, il reste conseillé aux utilisateurs de LastPass de prendre les précautions habituelles en attendant de plus amples informations : changer leur mot de passe maître et activer l’authentification à multiples facteurs.

Compatible Windows et MacOS mais aussi avec de nombreux navigateurs, LastPass est un gestionnaire de mots de passe très facile à utiliser. Sa version gratuite permet de sauvegarder vos mots de passe, mais aussi vos informations sensibles.
Lire la suite

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
7
8
sirifa
Leur fond de commerce c’est la sécurité des mots de passe. Si c’est bien vrai alors je peux comprendre leur résistance à avouer une brèche.<br /> Est-ce que c’est une veille brèche comblée et exploitée que maintenant ? (brèche qui donnait l’accès au mot de passe maître ?)
Keorl
Ou alors les gens dont le mot de passe changé a été réutilisé immédiatement ont leur PC (ou téléphone) vérolé. Je ne vois rien dans l’article qui permette d’incriminer LastPass comme l’article et le premier commentaire le sous-entendent assez lourdement.
nemo2023
La technologie de LastPass est vraiment bonne. Une très grosse partie de leur travail consiste à rendre impossible la compromission du mot de passe maître même s’il y a une brèche dans leur système.<br /> Il y a plus de chance que le texte de l’email soit l’erreur. Autrement dit, ils recoivent le fait que c’est le mot de passe maître qui est compromis alors qu’il s’agit d’une tentative d’accès par credential stuffing (tests multiples speudo aléatoire).<br /> La faute du stagiaire ? Ou tout simplement que le texte ne fait pas parti des tests automatisés…
Azael
Encore un fois un gestionnaire de mot de passe en local est le plus sécurisé
MPM2019
Oui possible (et encore faut s y connaitre en sécurité) mais tellement moins pratique.
bmustang
pas de souci avec bitwarden en local sur un nas qnap, j’emporte mon coffre en mode déconnecté sur mon mobile et se synchronise à mon retour si j’ai fait une modification.
claudemc
J’ai eu le même genre de credential stuffing sur un compte amazon.co.uk, j’ai fait le test moi même et je reçois le même mail d’avertissement.Donc quand ça arrive quelqu’un essie bien de se connecter, probablement avec de vieux comptes piratés, mais quand même, je ne capte pas que des boites de ce niveau ne donnent pas plus d’info dans le mail d’avertissement reçu, c’est à nous de vérifier si le mail vient bien d’amazon ou de google, quelles infos ont réellement été saisies, bref, c’est pas encore ça (on ne parlera pas d’orange ici, ils logguent les connexions du Senegal et les acceptent!!!)
Voir tous les messages sur le forum

Derniers actualités

Il ne manquait que cette fonction pour faire passer Powerpoint à l'ère du smartphone
La chute de FTX mène BlockFi à la banqueroute
E-sport : comment l'IA nous promet le meilleur de l'action en jeu
Xavier Niel veut racheter Editis à Vivendi
Oui ! WhatsApp pour Windows 11 va rendre les appels plus simples, voilà comment
Grâce à une offre de remboursement, le prix de la batterie externe Samsung est au plus bas !
Ce kit mémoire Kingston DDR5 est toujours à prix cassé au lendemain du Black Friday
Coca et Pepsi se font la course au camion électrique, ils feraient mieux de changer de bouteilles
Après le Black Friday, profitez d'une belle remise sur ce pack Galaxy S22 + Buds 2 !
Pourquoi Facebook va devoir payer 265 millions d'euros à l'Irlande
Haut de page