LastPass : des utilisateurs rapportent des activités suspectes sur leurs comptes

29 décembre 2021 à 11h00
7
LastPass

Plusieurs utilisateurs du gestionnaire de mots de passe LastPass ont rapporté avoir reçu un email les prévenant de tentatives de connexion sur leur compte à l’aide de leur mot de passe maître.

LastPass assure de son côté ne pas avoir été compromis et que les attaques détectées sont du credential stuffing. L’entreprise avance aussi la possibilité que l’envoi de certaines de ces alertes était dû à une erreur.

Des tentatives de connexion à l'aide des véritables mots de passe maîtres des utilisateurs

Plusieurs utilisateurs se sont emparés de Twitter, Reddit ou encore Hacker News ces dernières heures pour rapporter qu’ils ont reçu un email de LastPass leur indiquant qu’une tentative de connexion avait été réalisée sur leur compte. « Quelqu’un vient d’utiliser votre mot de passe maître pour essayer de se connecter à votre compte depuis un appareil ou un lieu que nous n’avons pas reconnu. LastPass a bloqué la tentative, mais vous devriez y regarder de plus près. Était-ce vous ? » peut-on y lire, sous-entendant que les véritables mots de passe maîtres des utilisateurs ont été utilisés dans ces tentatives de connexion.

En comparant les emails reçus, plusieurs d’entre eux se sont rendu compte que les adresses IP indiquées dans le mail étaient similaires et semblaient provenir du Brésil, quand d’autres rapportaient des tentatives de connexion depuis d’autres pays. La majorité de ces utilisateurs affirment que leur mot de passe maître, qui leur sert à se connecter au gestionnaire de mots de passe, était unique à la plateforme et n’était stocké à aucun autre endroit, laissant rapidement craindre une brèche de sécurité au sein de LastPass.

D’autres témoignages d’utilisateurs indiquent qu’après avoir modifié leur mot de passe maître, ces derniers continuaient à recevoir des emails les prévenant d’une tentative de connexion, comme si leur nouveau de mot de passe avait été immédiatement compromis.

LastPass essaie de rassurer ses utilisateurs

Malgré les affirmations des utilisateurs, LastPass a rapidement communiqué pour nier que le service avait été compromis. À la place, le gestionnaire a indiqué que l’activité était le fait de bots, qui s’engageaient dans des attaques de type credential stuffing.

Le credential stuffing, ou bourrage d’identifiant, est un type d'attaque lors duquel des tentatives de connexion sont réalisées automatiquement en utilisant des paires adresse email/mot de passe issues de listes récupérées lors d’attaques précédentes.

Les attaquants essaient d’utiliser des identifiants obtenus lors d’une brèche d’un service pour se connecter sur un autre service, en pariant sur le fait que les utilisateurs ont réutilisé leurs identifiants à plusieurs endroits. Un peu plus tard, l’entreprise a poursuivi au sujet du credential stuffing, tout en indiquant que certaines des alertes de sécurité étaient probablement dues à une erreur, corrigée depuis.

Bob Diachenko, un chercheur en sécurité, a de son côté indiqué que les adresses mail et mots de passe des utilisateurs ayant reçu des alertes de sécurité n’étaient pas présents dans les logs du malware Redline Stealer, rendus publics récemment et qui contiennent des milliers de paires d’identifiants LastPass selon lui.

LastPass se veut rassurant et assure n’avoir aucune preuve que des comptes d’utilisateurs ont été compromis à la suite de ces possibles attaques. Si le doute persiste donc encore sur les raisons de ces envois d’alertes de sécurité, qu’ils soient dus à du credential stuffing ou à une simple erreur, il reste conseillé aux utilisateurs de LastPass de prendre les précautions habituelles en attendant de plus amples informations : changer leur mot de passe maître et activer l’authentification à multiples facteurs.

L'une des choses les plus importantes pour un gestionnaire de mots de passe est d'avoir la confiance de ses utilisateurs. Après tout, ces logiciels sont chargés de conserver leurs données les plus précieuses, qui leur permettent de se connecter à des comptes qui contiennent des informations personnelles et importantes. Et LastPass, qui a un temps été l'un des gestionnaires de mots de passe les plus populaires, a perdu une partie de cette confiance avec les deux incidents de sécurité dont il a été victime en 2022. Tout le but en 2024 pour l'entreprise sera donc de la retrouver. Et peut-être de se refaire une bonne place sur le podium des meilleurs gestionnaires de mots de passe ?
Lire la suite

LastPass
LastPass
Gestionnaire de mot de passe
date de sortie : non disponible
Voir la fiche produit
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Haut de page

Sur le même sujet

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (7)

sirifa
Leur fond de commerce c’est la sécurité des mots de passe. Si c’est bien vrai alors je peux comprendre leur résistance à avouer une brèche.<br /> Est-ce que c’est une veille brèche comblée et exploitée que maintenant ? (brèche qui donnait l’accès au mot de passe maître ?)
Keorl
Ou alors les gens dont le mot de passe changé a été réutilisé immédiatement ont leur PC (ou téléphone) vérolé. Je ne vois rien dans l’article qui permette d’incriminer LastPass comme l’article et le premier commentaire le sous-entendent assez lourdement.
nemo2023
La technologie de LastPass est vraiment bonne. Une très grosse partie de leur travail consiste à rendre impossible la compromission du mot de passe maître même s’il y a une brèche dans leur système.<br /> Il y a plus de chance que le texte de l’email soit l’erreur. Autrement dit, ils recoivent le fait que c’est le mot de passe maître qui est compromis alors qu’il s’agit d’une tentative d’accès par credential stuffing (tests multiples speudo aléatoire).<br /> La faute du stagiaire ? Ou tout simplement que le texte ne fait pas parti des tests automatisés…
Azael
Encore un fois un gestionnaire de mot de passe en local est le plus sécurisé
MPM2019
Oui possible (et encore faut s y connaitre en sécurité) mais tellement moins pratique.
bmustang
pas de souci avec bitwarden en local sur un nas qnap, j’emporte mon coffre en mode déconnecté sur mon mobile et se synchronise à mon retour si j’ai fait une modification.
claudemc
J’ai eu le même genre de credential stuffing sur un compte amazon.co.uk, j’ai fait le test moi même et je reçois le même mail d’avertissement.Donc quand ça arrive quelqu’un essie bien de se connecter, probablement avec de vieux comptes piratés, mais quand même, je ne capte pas que des boites de ce niveau ne donnent pas plus d’info dans le mail d’avertissement reçu, c’est à nous de vérifier si le mail vient bien d’amazon ou de google, quelles infos ont réellement été saisies, bref, c’est pas encore ça (on ne parlera pas d’orange ici, ils logguent les connexions du Senegal et les acceptent!!!)
Voir tous les messages sur le forum