Un utilisateur de LastPass a créé un message pour souligner le problème. Il affirme que LastPass l'a averti d'une tentative de connexion depuis le Brésil. D'autres utilisateurs ont rapidement répondu au message, notant qu'ils avaient vécu quelque chose de similaire. LastPass pour sa part a affirmé qu'il n'y a aucune preuve d'une violation de données suite à ces rapports. Le gestionnaire de mots de passe maintient qu'il n'a jamais été compromis et que les comptes des utilisateurs n'ont pas été consultés par des acteurs malveillants. Cependant, face à la recrudescence des critiques, LastPass a dû affiner son communiqué.De nombreux utilisateurs de LastPass ont signalé que leurs mots de passe principaux ont été compromis après avoir reçu des avertissements par e-mail indiquant que quelqu'un a essayé de les utiliser pour se connecter à leurs comptes à partir d'emplacements inconnus. Les notifications par e-mail mentionnent également que les tentatives de connexion ont été bloquées, car elles ont été effectuées à partir d'endroits inconnus dans le monde.
« Quelqu'un vient d'utiliser votre mot de passe principal pour essayer de se connecter à votre compte à partir d'un appareil ou d'un emplacement que nous n'avons pas reconnu », avertissent les alertes de connexion. « LastPass a bloqué cette tentative, mais vous devriez regarder de plus près. Était-ce vous ? »
Les rapports de mots de passe principaux LastPass compromis sont diffusés via plusieurs sites de médias sociaux et plateformes en ligne, parmi lesquels Twitter.
La majorité des rapports semblent provenir d'utilisateurs avec des comptes LastPass obsolètes, ce qui signifie qu'ils n'ont pas utilisé le service depuis un certain temps et n'ont pas changé le mot de passe. L'une des hypothèses émises à ce moment était que la liste de mots de passe principaux utilisée pouvait provenir d'un piratage antérieur.
Certains utilisateurs affirment que changer leur mot de passe ne les a pas aidés, un utilisateur affirmant avoir vu de nouvelles tentatives de connexion à partir de divers emplacements à chaque changement de mot de passe.
LastPass affirme qu'il s'agit d'un bourrage d'informations d'identification et non d'un piratage
Le directeur principal de LogMeIn Global PR/AR, Nikolett Bacso-Albaum, a déclaré que « LastPass a enquêté sur des rapports récents de tentatives de connexion bloquées et a déterminé que l'activité est liée à une activité assez courante liée aux robots, dans laquelle un acteur malveillant ou malveillant tente d'accéder aux comptes d'utilisateurs ( dans ce cas, LastPass) en utilisant des adresses e-mail et des mots de passe obtenus à partir de violations de tiers liées à d'autres services non affiliés ».
« Il est important de noter que nous n'avons aucune indication que les comptes ont été accédés avec succès ou que le service LastPass a été autrement compromis par une partie non autorisée. Nous surveillons régulièrement ce type d'activité et continuerons de prendre des mesures conçues pour garantir que LastPass, ses utilisateurs et leurs données restent protégés et sécurisés », a ajouté Bacso-Albaum.
Pourtant, les utilisateurs recevant ces avertissements qui ont été interrogés ont déclaré que leurs mots de passe sont uniques à LastPass et non utilisés ailleurs. Raison pour laquelle un internaute s'est demandé « Alors, comment ont-ils obtenu ces mots de passe LastPass uniques sans violation de LastPass ? »
Alors que LastPass n'a partagé aucun détail sur la façon dont les acteurs malveillants derrière ces tentatives de bourrage d'informations d'identification ont procédé, les chercheurs en sécurité Bob Diachenko ont déclaré qu'il avait récemment trouvé des milliers d'informations d'identification LastPass en parcourant les journaux de logiciels malveillants Redline Stealer.
Certains des clients LastPass qui ont reçu de telles alertes de connexion ont indiqué que leurs e-mails ne figuraient pas dans la liste des paires de connexions collectées par RedLine Stealer trouvée par Diachenko.
D'ailleurs, lui-même a indiqué que ce n'était pas la source de l'attaque : « OK, j'ai reçu quelques demandes de vérification des e-mails dans les journaux de RedLine Stealer, et il n'y en avait aucune dans les enregistrements. Donc apparemment, ce n'était pas la source de l'attaque (malheureusement - car cela aurait facilité la compréhension du vecteur) ».
Cela signifie que, au moins dans le cas de certains de ces rapports, les acteurs malveillants derrière les tentatives de prise de contrôle ont utilisé d'autres moyens pour voler les mots de passe principaux de leurs cibles.
Certains clients ont également signalé avoir modifié leur mot de passe principal depuis qu'ils ont reçu l'avertissement de connexion, pour recevoir une autre alerte après la modification du mot de passe. C'est le cas de cet internaute qui déclare : « Quelqu'un a essayé d'entrer mon mot de passe principal LastPass plus tôt hier, puis quelqu'un l'a réessayé quelques heures après que je l'ai modifié. Que diable se passe-t-il ? »
Comme pour ne rien arranger, les clients qui ont essayé de désactiver et de supprimer leurs comptes LastPass après avoir reçu ces avertissements signalent également avoir reçu des erreurs « Quelque chose s'est mal passé » après avoir cliqué sur le bouton « Supprimer ».
LastPass fait un autre communiqué
Face à toutes ces sorties sur les réseaux sociaux, le vice-président de la gestion des produits de LastPass, Dan DeMichele, a fait une déclaration avec une explication plus détaillée, qui dit qu'au moins certaines des alertes ont été « probablement déclenchées par erreur », en raison d'un problème que LastPass a maintenant résolu :
« Comme indiqué précédemment, LastPass est au courant et a enquêté sur des rapports récents d'utilisateurs recevant des e-mails les alertant des tentatives de connexion bloquées.
Nous avons rapidement travaillé pour enquêter sur cette activité et pour le moment, nous n'avons aucune indication que des comptes LastPass ont été compromis par un tiers non autorisé à la suite de ce bourrage d'informations d'identification, et nous n'avons trouvé aucune indication que les informations d'identification LastPass de l'utilisateur ont été récoltées par des logiciels malveillants, des extensions de navigateur malveillantes ou des campagnes de phishing.
Cependant, par prudence, nous avons continué à enquêter dans le but de déterminer la cause des e-mails d'alerte de sécurité automatisés déclenchés à partir de nos systèmes. Notre enquête a depuis révélé que certaines de ces alertes de sécurité, qui ont été envoyées à un sous-ensemble limité d'utilisateurs de LastPass, ont probablement été déclenchées par erreur. En conséquence, nous avons ajusté nos systèmes d'alerte de sécurité et ce problème a depuis été résolu.
Ces alertes ont été déclenchées en raison des efforts continus de LastPass pour défendre ses clients contre les mauvais acteurs et les tentatives de bourrage d'informations d'identification. Il est également important de réitérer que le modèle de sécurité à connaissance nulle de LastPass signifie qu'à aucun moment LastPass ne stocke, n'a connaissance ou n'a accès au(x) mot(s) de passe principal d'un utilisateur.
Nous continuerons de surveiller régulièrement les activités inhabituelles ou malveillantes et, si nécessaire, continuerons de prendre des mesures conçues pour garantir que LastPass, ses utilisateurs et leurs données restent protégés et sécurisés ».
Même si LastPass n'a pas été compromis, il est conseillé aux utilisateurs de LastPass d'activer l'authentification multifacteur pour protéger leurs comptes. Sur son site, LastPass explique : « L'Authentification multifacteur (MFA), avec des notifications en un toucher (OneTap) sur mobile, des codes envoyés par SMS ou la vérification des empreintes digitales, constitue une seconde couche de sécurité servant à confirmer l'identité d'un utilisateur avant de lui accorder l'accès. Avec la MFA, les administrateurs peuvent instaurer des stratégies d'authentification qui adhèrent aux normes de sécurité sans empiéter sur le temps ou le travail des employés. LastPass MFA va au-delà de l’authentification à deux facteurs traditionnelle pour assurer que les bons utilisateurs accèdent aux bonnes données au bon moment, sans complexité supplémentaire ».
Il y a deux ans, en septembre 2019, LastPass a corrigé une faille de sécurité dans l'extension Chrome du gestionnaire de mots de passe qui aurait pu permettre aux acteurs malveillants de voler les dernières informations d'identification utilisées pour se connecter à un site.
Source : LastPass
Et vous ?
Comment conservez-vous vos mots de passe en général ? Vous servez-vous d'un gestionnaire de mots de passe ? Si oui, lequel ? Que pensez-vous de LastPass ? Si vous vous servez d'un gestionnaire de mots de passe, avez-vous activé l'authentification multifacteurs ? En cas de piratage du mot de passe maître, que recommandez-vous ?Voir aussi :
Le gestionnaire de mots de passe LastPass piraté, l'entreprise suggère plusieurs mesures dont le changement du mot de passe maître Le gestionnaire de mots de passe LastPass corrige un bogue qui expose les informations d'identification entrées sur un site précédemment visité 
