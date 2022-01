LastPass est peut-être l’un des gestionnaires de mots de passe les plus connus, et bien que beaucoup lui aient tourné le dos après ce qui était effectivement la fermeture de son niveau gratuit en 2021, c’est toujours un choix populaire. Maintenant, quelques rapports ont surgi avec des personnes disant qu’il y avait eu des tentatives de connexion en utilisant leurs mots de passe principaux corrects. Bien que ce soit déjà assez grave pour les personnes concernées, LastPass dit qu’il n’y a aucune indication que leurs serveurs ont été piratés, pointant plutôt vers des « violations de tiers liées à d’autres services non affiliés ». Il semble qu’une attaque coordonnée puisse également être exclue, LastPass indiquant que quelques-uns de ses avertissements de connexion récents ont été envoyés par erreur.

AppleInsider a d’abord repéré les rapports sur le forum Hacker News, où plusieurs utilisateurs écrivent que LastPass les a informés des tentatives de connexion bloquées provenant d’autres parties du monde, principalement du Brésil. D’après les e-mails que ces personnes ont reçus, LastPass leur indique que les bons mots de passe principaux ont été utilisés, mais que les tentatives étaient toujours bloquées en raison de la situation géographique inhabituelle.

Nous avons contacté le propriétaire de LastPass LogMeIn avec ces rapports, et la société déclare :

LastPass a enquêté sur des rapports récents de tentatives de connexion bloquées et a déterminé que l’activité est liée à une activité assez courante liée aux robots, dans laquelle un acteur malveillant ou malveillant tente d’accéder à des comptes d’utilisateurs (dans ce cas, LastPass) à l’aide d’adresses e-mail et de mots de passe obtenus de tiers. les violations des parties liées à d’autres services non affiliés. Il est important de noter que nous n’avons aucune indication que les comptes ont été accédés avec succès ou que le service LastPass a été autrement compromis par une partie non autorisée. Nous surveillons régulièrement ce type d’activité et continuerons de prendre des mesures conçues pour garantir que LastPass, ses utilisateurs et leurs données restent protégés et sécurisés.

Cela dit, il semble toujours y avoir une tentative coordonnée de se connecter aux comptes LastPass. AppleInsider écrit que de plus en plus de rapports apparaissent, et même si LastPass n’a pas été piraté, il semble y avoir un effort plus important pour violer les comptes individuels LastPass.

En creusant plus profondément dans le fil de discussion Hacker News, il semble que la plupart des utilisateurs concernés n’ont pas utilisé activement LastPass pendant une longue période de temps, et qu’ils n’ont pas non plus changé leurs mots de passe depuis un certain temps.

Quelques membres du forum Hacker News ont quelques causes spéculatives en tête. Un commentaire lié à un ancien article de Hacker News détaillant un exploit de remplissage automatique LastPass de 2015, suggérant que c’est de là que les mots de passe principaux pourraient provenir. D’autres soupçonnaient que les utilisateurs en question avaient été hameçonnés dans le cadre d’un stratagème élaboré. Lors de la recherche des adresses IP qui ont tenté de se connecter aux comptes LastPass en question, vous vous retrouverez sur un site de phishing qui prétend avoir gagné un produit technologique, pour vous demander plus tard de saisir des données sensibles.

Il y avait également des spéculations selon lesquelles les mots de passe auraient pu apparaître en raison de l’ancien forum interrompu de LastPass qui obligeait soi-disant les utilisateurs à se connecter avec leur mot de passe principal LastPass. Grâce à des exploits comme heartbleed en 2014, il a peut-être été possible d’extraire les mots de passe ici chaque fois que les utilisateurs se sont connectés. Cependant, LastPass dit que rien n’indique que les mots de passe ont été découverts par l’un de ces moyens.

Étant donné que LastPass n’a remarqué aucune activité suspecte sur ses serveurs, il est peu probable que quelqu’un ait réussi à pirater le gestionnaire de mots de passe lui-même. LastPass et ses concurrents ne stockent pas les mots de passe principaux et suivent les principes de la connaissance zéro, il est donc peu probable, voire impossible, de récupérer les mots de passe principaux directement à partir de la source.

Cependant, il est étrange que de nombreux utilisateurs LastPass concernés soient catégoriques sur le fait qu’ils n’ont jamais réutilisé leurs mots de passe LastPass pour d’autres services, et certains ont même été touchés par des tentatives de connexion bloquées avec le bon mot de passe peu de temps après avoir modifié leurs informations d’identification. Il semble bien qu’il doit y avoir une connexion entre ces utilisateurs, certains logiciels malveillants ou logiciels d’enregistrement de frappe volant leurs mots de passe principaux au fur et à mesure qu’ils sont tapés. Bleeping Computer rapporte que la société n’a corrigé une vulnérabilité de sécurité dans son extension Chrome qu’en 2019, donc un vecteur d’attaque existait autrefois. Il est possible qu’un autre problème dans certains logiciels LastPass ou une extension ou une application tierce se soit à nouveau produit entre-temps.

Bien que LastPass dise qu’il n’a pas été piraté, il est possible que votre mot de passe principal vieux de plusieurs années ait été divulgué par d’autres moyens, comme l’a déclaré la société elle-même. Étant donné que les utilisateurs de LastPass subissent actuellement cet afflux de tentatives de connexion, vous devez modifier votre mot de passe principal – utilisez un ordinateur différent de celui d’habitude, juste pour être sûr. Pendant que vous y êtes, il est également judicieux d’activer l’authentification à deux facteurs pour votre gestionnaire de mots de passe, ce qui vous offrira une couche de sécurité supplémentaire. Si vous n’utilisez plus LastPass, envisagez de supprimer votre compte pour empêcher quiconque d’accéder aux mots de passe potentiellement encore enregistrés.

Déclaration LastPass

À la suite d’une enquête plus approfondie, le vice-président de la gestion des produits de LastPass, Dan DeMichele, a déclaré que rien n’indique que des extensions de navigateur malveillantes, des logiciels malveillants ou des attaques de phishing réussies contre les abonnés LastPass soient la cause de l’afflux de tentatives de connexion. Un petit nombre des avertissements envoyés par LastPass par e-mail semblent également avoir été déclenchés comme une erreur.

Voici la déclaration textuelle que nous avons reçue :

Comme indiqué précédemment, LastPass est au courant et a enquêté sur des rapports récents d’utilisateurs recevant des e-mails les alertant des tentatives de connexion bloquées. Nous avons rapidement travaillé pour enquêter sur cette activité et pour le moment, nous n’avons aucune indication que des comptes LastPass ont été compromis par un tiers non autorisé à la suite de ce bourrage d’informations d’identification, et nous n’avons trouvé aucune indication que les informations d’identification LastPass de l’utilisateur ont été récoltées par des logiciels malveillants, des extensions de navigateur malveillantes ou des campagnes de phishing. Cependant, par prudence, nous avons continué à enquêter dans le but de déterminer la cause des e-mails d’alerte de sécurité automatisés déclenchés à partir de nos systèmes. Notre enquête a depuis révélé que certaines de ces alertes de sécurité, qui ont été envoyées à un sous-ensemble limité d’utilisateurs de LastPass, ont probablement été déclenchées par erreur. En conséquence, nous avons ajusté nos systèmes d’alerte de sécurité et ce problème a depuis été résolu. Ces alertes ont été déclenchées en raison des efforts continus de LastPass pour défendre ses clients contre les mauvais acteurs et les tentatives de bourrage d’informations d’identification. Il est également important de réitérer que le modèle de sécurité à connaissance nulle de LastPass signifie qu’à aucun moment LastPass ne stocke, n’a connaissance ou n’a accès au(x) mot(s) de passe principal d’un utilisateur. Nous continuerons de surveiller régulièrement les activités inhabituelles ou malveillantes et, si nécessaire, continuerons de prendre des mesures conçues pour garantir que LastPass, ses utilisateurs et leurs données restent protégés et sécurisés.

