Les utilisateurs de LastPass ont été plongés dans un état de panique après que la société a envoyé un avertissement par courrier électronique concernant l'utilisation non autorisée de mots de passe principaux. La société de gestion des mots de passe a informé les utilisateurs des tentatives de connexion suspectes à l'aide du mot de passe principal associé à leur compte. Cela a conduit à craindre que l'entreprise ait été piratée ou que des mots de passe aient été divulgués, mais LastPass dit que les avertissements étaient erronés.De nombreux utilisateurs de LastPass ont signalé que leurs mots de passe principaux ont été compromis après avoir reçu des avertissements par e-mail indiquant que quelqu'un a essayé de les utiliser pour se connecter à leurs comptes à partir d'emplacements inconnus. Les notifications par e-mail mentionnent également que les tentatives de connexion ont été bloquées, car elles ont été effectuées à partir d'endroits inconnus dans le monde.
« Quelqu'un vient d'utiliser votre mot de passe principal pour essayer de se connecter à votre compte à partir d'un appareil ou d'un emplacement que nous n'avons pas reconnu », avertissent les alertes de connexion. « LastPass a bloqué cette tentative, mais vous devriez regarder de plus près. Était-ce vous ? »
Les rapports de mots de passe principaux LastPass compromis sont diffusés via plusieurs sites de médias sociaux et plateformes en ligne, parmi lesquels Twitter.
Certains utilisateurs affirment que changer leur mot de passe ne les a pas aidés, un utilisateur affirmant avoir vu de nouvelles tentatives de connexion à partir de divers emplacements à chaque changement de mot de passe.
Peu de temps après l'envoi des e-mails d'avertissement, de nombreux utilisateurs ont commencé à contacter LastPass pour savoir ce qui se passait. Le directeur principal de LogMeIn Global PR/AR, Nikolett Bacso-Albaum, a déclaré que « LastPass a enquêté sur des rapports récents de tentatives de connexion bloquées et a déterminé que l'activité est liée à une activité assez courante liée aux robots, dans laquelle un acteur malveillant ou malveillant tente d'accéder aux comptes d'utilisateurs ( dans ce cas, LastPass) en utilisant des adresses e-mail et des mots de passe obtenus à partir de violations de tiers liées à d'autres services non affiliés ».
« Il est important de noter que nous n'avons aucune indication que les comptes ont été accédés avec succès ou que le service LastPass a été autrement compromis par une partie non autorisée. Nous surveillons régulièrement ce type d'activité et continuerons de prendre des mesures conçues pour garantir que LastPass, ses utilisateurs et leurs données restent protégés et sécurisés », a ajouté Bacso-Albaum.
Ce n'était pas la fin de l'enquête, et après avoir approfondi ses recherches, le vice-président de la gestion des produits de l'entreprise, Dan DeMichele, a publié une autre déclaration disant :
« Comme indiqué précédemment, LastPass est au courant et a enquêté sur des rapports récents d'utilisateurs recevant des e-mails les alertant des tentatives de connexion bloquées.
Nous avons rapidement travaillé pour enquêter sur cette activité et pour le moment, nous n'avons aucune indication que des comptes LastPass ont été compromis par un tiers non autorisé à la suite de ce bourrage d'informations d'identification, et nous n'avons trouvé aucune indication que les informations d'identification LastPass de l'utilisateur ont été récoltées par des logiciels malveillants, des extensions de navigateur malveillantes ou des campagnes de phishing.
Cependant, par prudence, nous avons continué à enquêter dans le but de déterminer la cause des e-mails d'alerte de sécurité automatisés déclenchés à partir de nos systèmes.
Notre enquête a depuis révélé que certaines de ces alertes de sécurité, qui ont été envoyées à un sous-ensemble limité d'utilisateurs de LastPass, ont probablement été déclenchées par erreur. En conséquence, nous avons ajusté nos systèmes d'alerte de sécurité et ce problème a depuis été résolu.
Ces alertes ont été déclenchées en raison des efforts continus de LastPass pour défendre ses clients contre les mauvais acteurs et les tentatives de bourrage d'informations d'identification. Il est également important de réitérer que le modèle de sécurité à connaissance nulle de LastPass signifie qu'à aucun moment LastPass ne stocke, n'a connaissance ou n'a accès au(x) mot(s) de passe principal d'un utilisateur.
Nous continuerons de surveiller régulièrement les activités inhabituelles ou malveillantes et, si nécessaire, continuerons de prendre des mesures conçues pour garantir que LastPass, ses utilisateurs et leurs données restent protégés et sécurisés ».
On ne sait pas combien d'utilisateurs ont reçu un e-mail d'avertissement de LastPass, mais ce qui compte, c'est que les comptes des utilisateurs restent en sécurité.
Même si LastPass n'a pas été compromis, il est conseillé aux utilisateurs de LastPass d'activer l'authentification multifacteur pour protéger leurs comptes. Sur son site, LastPass explique : « L'Authentification multifacteur (MFA), avec des notifications en un toucher (OneTap) sur mobile, des codes envoyés par SMS ou la vérification des empreintes digitales, constitue une seconde couche de sécurité servant à confirmer l'identité d'un utilisateur avant de lui accorder l'accès. Avec la MFA, les administrateurs peuvent instaurer des stratégies d'authentification qui adhèrent aux normes de sécurité sans empiéter sur le temps ou le travail des employés. LastPass MFA va au-delà de l’authentification à deux facteurs traditionnelle pour assurer que les bons utilisateurs accèdent aux bonnes données au bon moment, sans complexité supplémentaire ».
Source : LastPass