LastPass est un gestionnaire de mots de passe qui utilise l’authentification multifactorielle (AMF) pour augmenter la sécurité des mots de passe principaux des utilisateurs. Cependant, certains utilisateurs ont été bloqués de leurs comptes après avoir été invités à réinitialiser leurs applications d’authentification (par exemple, LastPass Authenticator, Microsoft Authenticator, Google Authenticator) en raison de mises à niveau de sécurité planifiées. Ces problèmes durent depuis début mai.Selon plusieurs rapports, les utilisateurs affectés ont reçu un message les informant qu’ils devaient réenregistrer leurs applications d’AMF, telles que Google Authenticator ou Microsoft Authenticator, en raison d’un changement dans la façon dont LastPass dérive la clé de chiffrement à partir du mot de passe principal. Cependant, après avoir suivi les instructions et réenregistré leurs applications d’AMF, les utilisateurs se sont retrouvés dans une boucle infinie où ils étaient constamment invités à réinitialiser leurs applications d’AMF à chaque tentative de connexion.
De plus, les utilisateurs concernés ne peuvent pas demander de l’aide au support de LastPass, car cela nécessite de se connecter à leur compte, ce qu’ils ne peuvent pas faire car ils sont bloqués par la demande de réinitialisation de l’AMF. Certains utilisateurs ont déclaré avoir attendu des semaines sans recevoir de réponse du support de LastPass.
« La resynchronisation forcée de MFA m'empêche maintenant de me connecter car LastPass ne reconnaîtra pas le nouveau code MFA. J'ai essayé la messagerie privée mais le message n'est pas envoyé. Que se passe-t-il? Il est clair que cela impacte beaucoup d'utilisateurs », a déclaré un utilisateur.
« Après avoir réinitialisé mon MFA, j'ai complètement perdu l'accès à mon coffre-fort. MasterPW ne fonctionne pas et ne se réinitialise pas, et l'e-mail de réinitialisation ne m'est jamais livré. Impossible de contacter mon support 'Premium' car une connexion est requise », a ajouté un autre.
« J'ai été invité à ressaisir le mot de passe principal, puis obligé de mettre à jour MFA, ce que j'ai fait avec succès, et maintenant je ne peux plus du tout me connecter. Je ne peux même pas ouvrir de ticket d'assistance car vous devez vous connecter pour faire alors », a déclaré un utilisateur, demandant de l'aide sur le site Web de la communauté LastPass.
LastPass indique que les réinitialisations MFA ont été annoncées via des messages intégrés à l'application pendant « plusieurs semaines » avant l'annonce initiale : « Salut Fabio. Un message intégré à l'application a été affiché pendant plusieurs semaines et un e-mail a été envoyé il y a plus d'un mois. Si vous n'utilisez pas l'application et que vous êtes désabonnés de la liste de diffusion par e-mails, je suis désolé que le changement n'ait pas été suffisamment clair ».
[TWITTER]<blockquote class="twitter-tweet"><p lang="en" dir="ltr">Hey, Fabio. There was an in-app message populated for several weeks, and an email sent out 1+ months ago. If you don't use the app, and have unsubscribed emails then I'm sorry the change wasn't made clear enough. <br>^AC</p>— LastPass Support (@LastPassHelp) <a href="https://twitter.com/LastPassHelp/status/1656436321311653888?ref_src=twsrc%5Etfw">May 10, 2023</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script> [/TWITTER]
Cela a poussé LastPass à publier plusieurs avis sur les mises à niveau de sécurité expliquant que cela est fait pour augmenter les itérations de mot de passe à la nouvelle valeur par défaut de 600 000 tours. Dans un bulletin d'assistance LastPass envoyé aux utilisateurs concernés, LastPass a déclaré :
Pour augmenter la sécurité de votre mot de passe principal, LastPass utilise une version plus puissante que la normale de la fonction de dérivation de clé basée sur le mot de passe (PBKDF2). Dans sa forme la plus basique, PBKDF2 est un "algorithme de renforcement de mot de passe" qui rend difficile pour un ordinateur de vérifier que n'importe quel mot de passe est le mot de passe principal correct lors d'une attaque compromettante.
LastPass utilise la fonction PBKDF2 implémentée avec SHA-256 pour transformer votre mot de passe principal en clé de cryptage. LastPass effectue un nombre personnalisable de tours de la fonction pour créer la clé de chiffrement, avant qu'un seul tour supplémentaire de PBKDF2 ne soit effectué pour créer votre hachage de connexion.
L'ensemble du processus est mené côté client. Le hachage de connexion résultant est celui qui est communiqué avec LastPass. LastPass utilise le hachage pour vérifier que vous saisissez le bon mot de passe principal lorsque vous vous connectez à votre compte.
LastPass effectue également un grand nombre de tours de PBKDF2 côté serveur. Cette implémentation de PBKDF2 côté client et côté serveur garantit que les deux parties de vos données - la partie stockée hors ligne localement et la partie stockée en ligne sur les serveurs LastPass - sont parfaitement protégées.
Le nombre minimum par défaut d'itérations de mot de passe est de 600 000 tours (pour les nouveaux comptes et ceux qui mettent à jour leur nombre d'itérations existantes).
LastPass utilise la fonction PBKDF2 implémentée avec SHA-256 pour transformer votre mot de passe principal en clé de cryptage. LastPass effectue un nombre personnalisable de tours de la fonction pour créer la clé de chiffrement, avant qu'un seul tour supplémentaire de PBKDF2 ne soit effectué pour créer votre hachage de connexion.
L'ensemble du processus est mené côté client. Le hachage de connexion résultant est celui qui est communiqué avec LastPass. LastPass utilise le hachage pour vérifier que vous saisissez le bon mot de passe principal lorsque vous vous connectez à votre compte.
LastPass effectue également un grand nombre de tours de PBKDF2 côté serveur. Cette implémentation de PBKDF2 côté client et côté serveur garantit que les deux parties de vos données - la partie stockée hors ligne localement et la partie stockée en ligne sur les serveurs LastPass - sont parfaitement protégées.
Le nombre minimum par défaut d'itérations de mot de passe est de 600 000 tours (pour les nouveaux comptes et ceux qui mettent à jour leur nombre d'itérations existantes).
Salut Sam. Il y a eu un processus de mise à niveau de sécurité en cours lancé par le système LastPass, qui augmente les itérations de mot de passe et force une resynchronisation de tous les MFA de l'utilisateur. Si vous rencontrez toujours des problèmes de connexion, veuillez m'envoyer l'adresse e-mail concernée par DM pour une vérification de l'état.
Dans un autre avis, la société indique que les utilisateurs sont invités à se réinscrire à l'authentification multifacteur pour leur sécurité lorsqu'ils se connectent à LastPass :
Pour votre sécurité, vous devrez peut-être réinitialiser votre application d'authentification (LastPass Authenticator, Microsoft Authenticator, Google Authenticator) lors de la connexion à LastPass.
La procédure détaillée requise pour réinitialiser le couplage entre LastPass et l'application d'authentification (LastPass Authenticator, Microsoft Authenticator ou Google Authenticator) est décrite en détail dans un document d'assistance.
La prochaine fois que vous vous connecterez à un site Web ou à une application à l'aide de LastPass, vous serez invité à vérifier votre position. Lorsque vous vous connectez à un site Web ou à une application où vous avez utilisé LastPass pour vous connecter, vous devez saisir à nouveau vos informations d'identification et vous authentifier à l'aide de votre application d'authentification.
Les utilisateurs seront également invités à vérifier leur emplacement la prochaine fois qu'ils se connecteront à un site Web ou à une application en utilisant LastPass comme mesure de sécurité supplémentaire.
Dans le cadre du même processus, les utilisateurs devront ressaisir leurs identifiants de connexion et s'authentifier à nouveau à l'aide de leur application d'authentification.
« Suite aux incidents de 2022, nous avons envoyé des e-mails et des communications intégrées au produit à notre clientèle en leur recommandant de réinitialiser leurs secrets MFA avec leur application d'authentification préférée par mesure de précaution. Cette recommandation a également été incluse dans les bulletins de sécurité que nous avons envoyés à notre B2C et les clients B2B début mars et une deuxième communication par e-mail début avril », a déclaré un porte-parole de LastPass.
« Cependant, un sous-ensemble de nos clients n'a toujours pas pris cette mesure, nous les avons donc incités à agir lors de leur prochaine connexion à LastPass. Nous avons lancé cette invite dans le produit début juin dans l'espoir qu'elle serait obtenir une meilleure réponse que nos e-mails ».
Un outil ciblé par des cybercriminels
Ces problèmes surviennent après que LastPass a révélé une faille de sécurité. LastPass a été confronté l'an dernier à une série d'attaques qui a compromis les données sensibles de ses utilisateurs. Certaines déclarations de la société en décembre dernier ont fait l'effet d'une bombe et attisé l'ire des clients et d'autres acteurs de la communauté. En effet, LastPass avait déjà été victime d'une violation de données jugée "mineure" en août. À l'époque, la société a déclaré qu'un acteur malveillant avait obtenu un accès non autorisé via un seul compte de développeur et l'a utilisé pour accéder à des données exclusives. Les pirates avaient pu copier des parties du code source et certaines informations techniques propriétaires de LastPass.
L'entreprise a déclaré à l'époque que les mots de passe principaux des clients, les mots de passe chiffrés, les informations personnelles et les autres données stockées dans les comptes clients n'étaient pas affectés. Cependant, en décembre, LastPass a publié une mise à jour sur la brèche de sécurité et a déclaré que les pirates avaient réussi à accéder aux informations personnelles et aux métadonnées associées, notamment les noms de société, les noms d'utilisateur final, les adresses de facturation, les adresses email, les numéros de téléphone et les adresses IP utilisées par les clients pour accéder aux différents services du gestionnaire de mots de passe.
Conclusion
Les utilisateurs mécontents ont exprimé leur frustration sur les réseaux sociaux et les forums, affirmant qu’ils allaient abandonner LastPass et passer à d’autres gestionnaires de mots de passe. Certains ont également déclaré qu’ils craignaient pour la sécurité de leurs données stockées dans le coffre-fort de LastPass. Pour Jeremi Gosney, chercheur en sécurité, il faut s'éloigner du gestionnaire « en raison de sa longue histoire d'incompétence ».
LastPass n’a pas encore fait de déclaration officielle sur le problème ni indiqué quand il serait résolu.
Sources : LastPass (1, 2, 3), commentaires utilisateurs (1, 2)
Et vous ?
Utilisez-vous LastPass comme gestionnaire de mots de passe? Si oui, avez-vous été touché par le problème d’AMF? Quelle est votre opinion sur la façon dont LastPass a géré la situation? Quelles sont les mesures que vous prenez pour protéger vos mots de passe et vos données en ligne? Quels sont les avantages et les inconvénients de l’authentification multifactorielle? Quel autre gestionnaire de mots de passe utilisez-vous ou envisagez-vous d’utiliser? 
