LastPass : des utilisateurs rapportent des activités suspectes sur leurs comptes

Publié le 29 décembre 2021 à 11h00

Plusieurs utilisateurs du gestionnaire de mots de passe LastPass ont rapporté avoir reçu un email les prévenant de tentatives de connexion sur leur compte à l’aide de leur mot de passe maître.

LastPass assure de son côté ne pas avoir été compromis et que les attaques détectées sont du credential stuffing. L’entreprise avance aussi la possibilité que l’envoi de certaines de ces alertes était dû à une erreur.

Des tentatives de connexion à l'aide des véritables mots de passe maîtres des utilisateurs

Plusieurs utilisateurs se sont emparés de Twitter, Reddit ou encore Hacker News ces dernières heures pour rapporter qu’ils ont reçu un email de LastPass leur indiquant qu’une tentative de connexion avait été réalisée sur leur compte. « Quelqu’un vient d’utiliser votre mot de passe maître pour essayer de se connecter à votre compte depuis un appareil ou un lieu que nous n’avons pas reconnu. LastPass a bloqué la tentative, mais vous devriez y regarder de plus près. Était-ce vous ? » peut-on y lire, sous-entendant que les véritables mots de passe maîtres des utilisateurs ont été utilisés dans ces tentatives de connexion.

En comparant les emails reçus, plusieurs d’entre eux se sont rendu compte que les adresses IP indiquées dans le mail étaient similaires et semblaient provenir du Brésil, quand d’autres rapportaient des tentatives de connexion depuis d’autres pays. La majorité de ces utilisateurs affirment que leur mot de passe maître, qui leur sert à se connecter au gestionnaire de mots de passe, était unique à la plateforme et n’était stocké à aucun autre endroit, laissant rapidement craindre une brèche de sécurité au sein de LastPass.

D’autres témoignages d’utilisateurs indiquent qu’après avoir modifié leur mot de passe maître, ces derniers continuaient à recevoir des emails les prévenant d’une tentative de connexion, comme si leur nouveau de mot de passe avait été immédiatement compromis.

LastPass essaie de rassurer ses utilisateurs

Malgré les affirmations des utilisateurs, LastPass a rapidement communiqué pour nier que le service avait été compromis. À la place, le gestionnaire a indiqué que l’activité était le fait de bots, qui s’engageaient dans des attaques de type credential stuffing.

Le credential stuffing, ou bourrage d’identifiant, est un type d'attaque lors duquel des tentatives de connexion sont réalisées automatiquement en utilisant des paires adresse email/mot de passe issues de listes récupérées lors d’attaques précédentes.

Les attaquants essaient d’utiliser des identifiants obtenus lors d’une brèche d’un service pour se connecter sur un autre service, en pariant sur le fait que les utilisateurs ont réutilisé leurs identifiants à plusieurs endroits. Un peu plus tard, l’entreprise a poursuivi au sujet du credential stuffing, tout en indiquant que certaines des alertes de sécurité étaient probablement dues à une erreur, corrigée depuis.

Bob Diachenko, un chercheur en sécurité, a de son côté indiqué que les adresses mail et mots de passe des utilisateurs ayant reçu des alertes de sécurité n’étaient pas présents dans les logs du malware Redline Stealer, rendus publics récemment et qui contiennent des milliers de paires d’identifiants LastPass selon lui.

LastPass se veut rassurant et assure n’avoir aucune preuve que des comptes d’utilisateurs ont été compromis à la suite de ces possibles attaques. Si le doute persiste donc encore sur les raisons de ces envois d’alertes de sécurité, qu’ils soient dus à du credential stuffing ou à une simple erreur, il reste conseillé aux utilisateurs de LastPass de prendre les précautions habituelles en attendant de plus amples informations : changer leur mot de passe maître et activer l’authentification à multiples facteurs.

Sources : BleepingComputer, Twitter

Par Fanny Dufour

Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numériques, des problématiques de vie privée au logiciel libre en passant par la sécurité. Fan inconditionnelle de science-fiction toujours prête à expliquer pendant des heures pourquoi Babylon 5 est ma série préférée.

Articles de Fanny Dufour

Piratage

Logiciels & services

Actualités mots de passe / authentification

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (7)

sirifa

Leur fond de commerce c’est la sécurité des mots de passe. Si c’est bien vrai alors je peux comprendre leur résistance à avouer une brèche.
Est-ce que c’est une veille brèche comblée et exploitée que maintenant ? (brèche qui donnait l’accès au mot de passe maître ?)

Keorl

Ou alors les gens dont le mot de passe changé a été réutilisé immédiatement ont leur PC (ou téléphone) vérolé. Je ne vois rien dans l’article qui permette d’incriminer LastPass comme l’article et le premier commentaire le sous-entendent assez lourdement.

nemo2023

La technologie de LastPass est vraiment bonne. Une très grosse partie de leur travail consiste à rendre impossible la compromission du mot de passe maître même s’il y a une brèche dans leur système.
Il y a plus de chance que le texte de l’email soit l’erreur. Autrement dit, ils recoivent le fait que c’est le mot de passe maître qui est compromis alors qu’il s’agit d’une tentative d’accès par credential stuffing (tests multiples speudo aléatoire).

La faute du stagiaire ? Ou tout simplement que le texte ne fait pas parti des tests automatisés…

Azael

Encore un fois un gestionnaire de mot de passe en local est le plus sécurisé

MPM2019

Oui possible (et encore faut s y connaitre en sécurité) mais tellement moins pratique.

bmustang

pas de souci avec bitwarden en local sur un nas qnap, j’emporte mon coffre en mode déconnecté sur mon mobile et se synchronise à mon retour si j’ai fait une modification.

claudemc

J’ai eu le même genre de credential stuffing sur un compte amazon.co.uk, j’ai fait le test moi même et je reçois le même mail d’avertissement.Donc quand ça arrive quelqu’un essie bien de se connecter, probablement avec de vieux comptes piratés, mais quand même, je ne capte pas que des boites de ce niveau ne donnent pas plus d’info dans le mail d’avertissement reçu, c’est à nous de vérifier si le mail vient bien d’amazon ou de google, quelles infos ont réellement été saisies, bref, c’est pas encore ça (on ne parlera pas d’orange ici, ils logguent les connexions du Senegal et les acceptent!!!)