les mots de passe maître de ses utilisateurs ont-ils été compromis ?

Les utilisateurs de LastPass sont dans la tourmente. Depuis plusieurs jours, un certain nombre d’entre eux ont en effet reçu des alertes par mail leur indiquant que des tentatives de connexion avaient été réalisées depuis des emplacements inhabituels.
Pour sécuriser les comptes concernés et s’assurer que les données qu’ils contiennent n’ont pas été compromises, LastPass a procédé à leur blocage.

Someone has attempted to log into my @LastPass account with my master password. My password was unique, random, and unused since I last changed it in 2015 in response to a previous incident. This looks like the current incident is significant.

— Tyler Szabo (@TylerSzabo) December 29, 2021

Après avoir mené son enquête, l’éditeur du logiciel, LogMeIn, explique dans un billet de blog les potentielles raisons de ces alertes :

« Ces alertes ont été déclenchées en réponse à une tentative d’activité de “bourrage d’informations d’identification”, dans laquelle un acteur malveillant tente d’accéder aux comptes des utilisateurs (dans ce cas, de LastPass) en utilisant des adresses e-mail et des mots de passe obtenus à partir de violations tierces liées à d’autres services non affiliés ».

Malgré ses recherches pour tenter de comprendre d’où vient le problème, LogMeIn n’a trouvé aucun élément probant indiquant que des comptes LastPass ont été compromis ou que des informations d’identifications d’utilisateurs ont été collectées par des logiciels malveillants ou par le biais de campagnes de phishing.

Des alertes déclenchées par erreur

L’éditeur du gestionnaire de mots de passe, qui explique prendre ces alertes très au sérieux, a continué son enquête et aurait finalement trouvé la cause du problème : les alertes de sécurité, envoyées à un nombre limité d’utilisateurs, auraient été envoyées « par erreur ». La firme, qui indique avoir depuis ajusté son système de sécurité, assure que le problème est à présent résolu.

À découvrir aussi en vidéo :

LogMeIn rappelle par ailleurs qu’aucun mot de passe maître de LastPass n’est stocké sur ses serveurs. La firme, qui explique en détail dans son billet de blog comment son service est sécurisé, donne par la même occasion quelques recommandations, souvent de bon sens, à ses utilisateurs.

Elle les invite à créer un mot de passe maître fort, par exemple une phrase longue ou une série de mots, à activer la double authentification, à ne jamais utiliser plusieurs fois le même mot de passe et à ne jamais réutiliser des mots de passe sur plusieurs services, ceux-ci pouvant potentiellement se trouver dans des fuites de données.

Source : LastPass

Opération Barkhane : le Mali exige un retrait «sans délai» des soldats français, Macron temporise

Poussés dehors par la junte au pouvoir à Bamako,...

Russes et Biélorusses finalement exclus des Jeux paralympiques : «Il y aurait eu des actions et des contestations»

Russes et Biélorusses finalement exclus des Jeux paralympiques : «Il...

Floride : un corps retrouvé après le chavirage d’un bateau de migrants

Les recherches après le chavirage d’un bateau au large...

Syrie: près de 90 morts en trois jours de combats entre forces kurdes et EI

Ca n’en finit plus. Des combats ont opposé ce...