Une alerte à la sécurité est survenue mardi soir pour les utilisateurs de LastPass lorsque certains ont signalé avoir reçu des e-mails de LastPass, les alertant que LastPass avait bloqué les tentatives non autorisées d’accès à leurs comptes. Comme indiqué pour la première fois par AppleInsider, certains membres de LastPass ont déclaré avoir été informés de plusieurs tentatives de connexion, en utilisant des mots de passe principaux corrects à divers endroits. LastPass a confirmé que les alertes par e-mail étaient liées à une tentative d’attaque de bourrage d’informations d’identification – où des acteurs malveillants tentent de se connecter à plusieurs comptes avec des informations d’identification précédemment vérifiées – mais ont déclaré qu’aucun mot de passe principal n’avait été compromis.
Dans un communiqué, Dan DeMichele, vice-président de la gestion des produits de LastPass, a déclaré que les alertes de sécurité par courrier électronique avaient été envoyées à un sous-ensemble limité d’utilisateurs de LastPass et avaient probablement été déclenchées par erreur. DeMichele a déclaré que LastPass avait ajusté ses systèmes d’alerte de sécurité et que le problème avait été résolu.
« Nous avons rapidement travaillé pour enquêter sur cette activité et pour le moment, nous n’avons aucune indication que des comptes LastPass ont été compromis par un tiers non autorisé à la suite de ce bourrage d’informations d’identification, et nous n’avons trouvé aucune indication que les informations d’identification LastPass des utilisateurs ont été récoltées par des logiciels malveillants, des extensions de navigateur malveillantes ou des campagnes de phishing », a déclaré DeMichele. « Cependant, par prudence, nous avons continué à enquêter dans le but de déterminer la cause du déclenchement des e-mails d’alerte de sécurité automatisés à partir de nos systèmes. »
Ce n’est pas la première fois que LastPass – dont le code source est propriétaire plutôt qu’open source – fait face à une alerte à la sécurité ou à des critiques concernant ses pratiques en matière de confidentialité. Sa violation la plus notable a eu lieu en 2015 et est la seule violation constatée sur le site officiel de LastPass. La même année, cependant, le responsable de la sécurité d’Asana, Sean Cassidy, a découvert une vulnérabilité de phishing créée par un bogue CSRF, et un document de recherche a émergé détaillant un autre bogue CSRF et comment l’option de bookmarklet Safari de LastPass était jugée vulnérable si les utilisateurs étaient amenés à cliquer sur certaines parties d’un site de l’attaquant.
Lire la suite: Avis Bitwarden : Le meilleur gestionnaire de mots de passe gratuit pour 2021
En 2016, deux vulnérabilités ont été découvertes. L’un a été découvert par un chercheur en sécurité Mathias Karlsson, l’autre par Google Project Zero’s Tavis Ormandy, ce dernier ayant incité LastPass à exhorter les utilisateurs à mettre à jour leurs navigateurs. En 2017, le gestionnaire de mots de passe corrigé une autre faille de sécurité majeure dans son extension de navigateur – le talon d’Achille de la plupart des gestionnaires de mots de passe – qui aurait pu permettre aux pirates de manipuler un compte LastPass. Cela préfigurait la recherche de l’Université de York en 2019, qui a trouvé une autre vulnérabilité qui permettrait aux applications de copie malveillantes d’exploiter la fonction de remplissage automatique de LastPass. Ormandy est revenue à l’examen de LastPass plus tard en 2019, découvrant une troisième vulnérabilité d’extension de navigateur – que LastPass a à nouveau résolue – qui exposerait les informations de connexion que vous avez entrées sur un site précédemment visité.
En février 2021, LastPass était à nouveau sur la sellette de la confidentialité pour son utilisation de traceurs Web.
En ce qui concerne l’alerte à la sécurité de mardi, LastPass a déclaré qu’il surveillerait le service pour détecter toute activité inhabituelle ou malveillante et continuerait de prendre toutes les mesures nécessaires pour assurer la sécurité des données des utilisateurs.
Contrairement aux audits menés par les concurrents RememBear, NordPass et Bitwarden open source, les audits tiers indépendants de LastPass sont limités dans leur disponibilité publique. Et tandis que LogMeIn conserve une collection d’audits pour plusieurs de ses propriétés, la société affirme que son audit de sécurité cloud supplémentaire pour LastPass n’est disponible que si vous signez un accord de non-divulgation. Seuls les audits organisationnels simples sont traditionnellement accessibles au public, ainsi qu’une liste d’entreprises avec lesquelles LastPass travaille.
Par mesure de sécurité préventive, les utilisateurs de LastPass doivent régulièrement mettre à jour leur mot de passe principal et activer l’authentification multifacteur sur leurs comptes. Si vous avez réutilisé votre mot de passe principal LastPass pour autres gestionnaires de mots de passe — tel que Bitwarden ou 1Password — nous vous conseillons également de mettre à jour ces comptes. Et n’oubliez pas : si vous utilisez un gestionnaire de mots de passe, ne réutilisez jamais le mot de passe principal pour un autre site, service ou application.
Lire la suite: Revue LastPass : Un gestionnaire de mots de passe de premier plan avec une proposition de valeur changeante
Comment mettre à jour votre mot de passe principal LastPass
Le moyen le plus simple de changer votre mot de passe principal LastPass est de vous connecter à votre coffre-fort via le site principal de LastPass. En raison de la récente frayeur, il peut vous être demandé de confirmer votre identité lors de votre première tentative de connexion. Si tel est le cas, vous devrez probablement confirmer votre tentative de connexion via un e-mail envoyé à l’adresse associée à votre compte LastPass. Vérifiez donc votre boîte de réception pour un e-mail LastPass si vous rencontrez des problèmes lors de la connexion.
Une fois connecté à votre coffre-fort, allez dans le coin supérieur droit de la page et, juste à droite de votre nom d’utilisateur LastPass, cliquez sur la petite icône en forme de triangle inversé pour développer le menu de votre compte. Sélectionner Compte Réglages.
Un écran apparaîtra. Son premier onglet est intitulé Général. Sous l’en-tête Identifiants de connexion, vous verrez une ligne appelée Mot de passe principal. Juste à droite de ces mots, cliquez sur le bouton intitulé Changer le mot de passe principal.
À partir de là, vous serez invité à confirmer votre mot de passe principal actuel, à créer votre nouveau mot de passe principal et à écrire un indice pour vous aider à le rappeler à l’avenir si nécessaire.
Pour vérifier si l’adresse e-mail associée à votre compte LastPass a été impliquée dans des violations récentes, vous pouvez aller sur Have I Been Pwned et entrer votre adresse e-mail dans la barre de recherche.
Lire la suite: 4 étapes à suivre pour sécuriser votre compte Gmail immédiatement