LastPass : des alertes e-mail qui sèment le doute auprès des utilisateurs

Alors que certains utilisateurs de Windows 11 voient leur écran HDR devenir jaune, les utilisateurs de LastPass quant à eux rient jaune... En effet, de nombreux utilisateurs affirment que leur mot de passe maître a été compromis après avoir reçu une alerte e-mail pour indiquer qu'une connexion a été effectuée depuis un emplacement inconnu.

Pour rappel, LastPass est une gestionnaire de mots de passe totalement en ligne, accessible en version gratuite, mais aussi en version payante.

Ce même e-mail affirme que la tentative de connexion a été bloquée par LastPass car elle provient d'un emplacement non familier (ou d'un périphérique non reconnu), ou en tout cas anormal vis-à-vis du lieu de connexion habituel de l'utilisateur. Même si la connexion est bloquée, cela signifie que le mot de passe maître permettant d'accéder au coffre-fort de mots de passe est bien compromis. Les utilisateurs concernés et qui ont reçu cet e-mail n'ont pas hésité à partager l'information sur Internet, notamment sur Twitter et Reddit.

De son côté LastPass a analysé la situation et d'après eux c'est un bot qui est à l'origine de ces connexions malveillantes. Cela voudrait dire qu'il n'y a pas eu de piratage, compromission ou fuite de données directement chez LastPass. En fait, certains utilisateurs seraient victimes de ce que l'on appelle le credential stuffing.

Pour être précis, cela signifie que les identifiants (nom d'utilisateur + mot de passe) utilisés pour se connecter à LastPass sont issus d'autres fuites de données liées à des attaques précédentes sur des services tiers. Si un utilisateur a défini le même nom d'utilisateur et le même mot de passe sur LastPass que sur un autre service victime d'une fuite de données, et bien cela facilite la découverte du compte LastPass.

Ce qui est étonnant, c'est que certains utilisateurs touchés assurent que leur mot de passe LastPass n'est pas utilisé ailleurs. Ce qui pose question... Mais pour se justifier, LastPass affirme qu'une partie de ces alertes ont étaient envoyées par erreur, tandis que d'autres seraient liées à des attaques de type credential stuffing. S'il s'avère bel et bien d'un bug, il faut avouer que cela sème le doute !

Remarque : cet article est l'occasion de préciser qu'il est indispensable d'avoir un mot de passe maître robuste pour son coffre-fort de mots de passe, et que ce mot de passe doit être unique (dans le sens où vous ne l'utilisez pas ailleurs).

Compte tenu de la situation, il est recommandé aux utilisateurs de LastPass de modifier leur mot de passe maître par précaution.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3500 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.