Pendant plusieurs semaines, les utilisateurs de LastPass ont connu des problèmes de connexion à leur compte ! Une situation rageante qui est liée à une maintenance de sécurité opérée par l'éditeur de LastPass. Que se passe-t-il ?

Pour rappel, LastPass est un gestionnaire de mots de passe en mode SaaS, qu'il est possible d'utiliser gratuitement ou en payant en abonnement, selon les fonctionnalités dont on a besoin. Malheureusement, ces dernières années, LastPass a subi des incidents de sécurité à plusieurs reprises... Cette fois-ci, LastPass a voulu bien faire en augmentant la sécurité des coffres-forts de ses utilisateurs, mais tout ce s'est pas passé comme prévu.

Le 9 mai dernier, sur Twitter, LastPass a mis en ligne ce message : "Dans le cadre de notre maintenance de sécurité planifiée, les utilisateurs devront peut-être se reconnecter à LastPass et réinitialiser leurs préférences d'authentification multifacteur au cours des prochaines 24 heures." - Sauf que depuis cette maintenance, les utilisateurs ont des difficultés pour se connecter à leur compte, et donc à leur coffre-fort de mots de passe.

Certains utilisateurs ont bien fait la reconnexion et la reconfiguration de leur application MFA (que ce soit Microsoft Authenticator, LastPass Authenticator, etc.) mais ils restent bloqués. Par exemple, suite à la connexion à leur compte, certains utilisateurs sont bloqués par une boucle infinie qui leur demande de réinitialiser leur application MFA. Pire encore, les utilisateurs ne sont pas en mesure de contacter le support de LastPass car l'accès à l'assistance implique d'être authentifié à son compte, ce qui n'est pas possible.

Sur un forum, un utilisateur semble déconcerté : "Après avoir réinitialisé mon MFA, j'ai complètement perdu l'accès à mon coffre-fort. Le MasterPW ne fonctionne pas et ne se réinitialise pas, et l'e-mail de réinitialisation ne m'est jamais envoyé. Je ne peux pas contacter mon service d'assistance "Premium" car je dois me connecter." - Et il est loin d'être le seul car les messages sont nombreux.

De son côté, LastPass explique qu'il est nécessaire d'effectuer la réinscription depuis un ordinateur en accédant à son compte LastPass avec un navigateur. Il n'est pas possible d'effectuer cette opération avec l'application mobile ou l'extension pour navigateurs. Ce document de support, dans lequel il y a aussi une vidéo, est là pour accompagner les utilisateurs.

En quoi consiste cette maintenance opérée par LastPass ?

À travers différents articles de support et tweets, on apprend que LastPass a amélioré la protection du mot de passe maître du coffre-fort de ses utilisateurs. Dans un article de support, on peut lire : "Pour augmenter la sécurité de votre mot de passe principal, LastPass utilise une version plus forte que la normale de Password-Based Key Derivation Function (PBKDF2). [...] LastPass effectue un nombre personnalisable de tours de la fonction pour créer la clé de chiffrement, avant qu'un seul tour supplémentaire de PBKDF2 ne soit effectué pour créer votre hash de connexion."- Désormais, le nombre minimum d'itérations du mot de passe par défaut est de 600 000, toujours d'après ce même document.

Au-delà de ce changement, LastPass a forcé la réinitialisation du MFA sur les comptes de ses utilisateurs en réponse aux incidents de sécurité de 2022. Par mesure de précaution, il avait été demandé aux utilisateurs de procéder à cette action. Puisque tous les utilisateurs ne l'ont pas fait, et bien LastPass a pris la décision de leur forcer la main...

