De nombreux utilisateurs de LastPass, gestionnaire de mots de passe réputé, affirment avoir reçu un e-mail les avertissant d'une tentative de connexion à leur compte à l'aide de leur mot de passe de maître. Si la thèse d'une cyberattaque était d'abord retenue, les équipes de LastPass confirme que certains mails sont des erreurs tandis que d'autres sont le produit de credential stuffing.

Sur Twitter, Reddit ou encore le forum du site spécialisé HackerNews, de nombreux utilisateurs de LastPass ont fait part de leur inquiétude. En effet, ils ont reçu un mail les avertissant d'une tentative de connexion à leur compte grâce à leur mot de passe maître, suggérant donc qu'il a été compromis.

“Quelqu'un vient d'utiliser votre mot de passe maître pour essayer de se connecter à votre compte depuis un appareil ou un lieu que nous n'avons pas reconnu. LastPass a bloqué la tentative, mais vous devriez y regarder de plus près. Était-ce-vous ?”, pouvait-on lire dans ces mails.

Effrayés par cette alerte de sécurité, des utilisateurs ont modifié immédiatement le précieux sésame. Seulement, ils ont continué à recevoir des mails d'avertissement, indiquant potentiellement que le nouveau mot de passe maître était menacé à chaque fois. De fait, les utilisateurs ont rapidement émis l'hypothèse d'une cyberattaque ou d'une faille de sécurité chez LastPass.

À lire également : LastPass Free ne sera plus entièrement gratuit à partir du 16 mars 2021

LastPass l'assure, aucune cyberattaque ou faille à signaler

Néanmoins, les équipes du gestionnaire de mot de passe ont coupé court aux inquiétudes. Elles affirment n'avoir aucune preuve d'une violation de données et qu'aucun mot de passe maître n'a été compromis. Après enquête, LastPass assure que ces mails sont liés à des tentatives de credential stuffing. Cette technique consiste à tenter d'accéder à un compte (dans ce cas, LastPass) en utilisant des adresses mail ou des mots de passe obtenus à via des brèches ou des cyberattaques menées sur d'autres services.

Les pirates font donc le pari que les utilisateurs se servent du même mot de passe sur leurs différentes comptes. “Il est important de noter qu'à l'heure actuelle, nous n'avons aucune indication que les comptes ou le service LastPass ont été compromis. Nous surveillons régulièrement ce type d'activité et nous continuerons à prendre des mesures visant à garantir que LastPass, ses utilisateurs et leurs données restent protégées et sécurisées”, assure LastPass.

Si aucune cyberattaque n'est donc à l'origine de l'envoi de ces mails d'alerte de sécurité, qui l'est alors ? LastPass a poursuivi ses investigations et précise que “ces alertes de sécurité, qui ont été envoyées à un sous-ensemble limité d'utilisateurs de LastPass, ont probablement été déclenchées par erreur”. Pour éviter que le problème ne se reproduise, LastPass a “ajusté ses systèmes d'alertes de sécurité automatisés”. Malgré tout, on vous conseille tout de même de modifier votre mot de passe maître, d'activer l'authentification à deux facteurs et de surveiller les tentatives de connexion suspectes. LastPass a déjà été piraté par le passé, en 2015 notamment.

Source : AppleInsider