Les utilisateurs de LastPass sont dans la tourmente. Depuis plusieurs jours, un certain nombre d’entre eux ont en effet reçu des alertes par mail leur indiquant que des tentatives de connexion avaient été réalisées depuis des emplacements inhabituels.
Pour sécuriser les comptes concernés et s’assurer que les données qu’ils contiennent n’ont pas été compromises, LastPass a procédé à leur blocage.
Someone has attempted to log into my @LastPass account with my master password. My password was unique, random, and unused since I last changed it in 2015 in response to a previous incident. This looks like the current incident is significant.
— Tyler Szabo (@TylerSzabo) December 29, 2021
Après avoir mené son enquête, l’éditeur du logiciel, LogMeIn, explique dans un billet de blog les potentielles raisons de ces alertes :
« Ces alertes ont été déclenchées en réponse à une tentative d’activité de “bourrage d’informations d’identification”, dans laquelle un acteur malveillant tente d’accéder aux comptes des utilisateurs (dans ce cas, de LastPass) en utilisant des adresses e-mail et des mots de passe obtenus à partir de violations tierces liées à d’autres services non affiliés ».
Malgré ses recherches pour tenter de comprendre d’où vient le problème, LogMeIn n’a trouvé aucun élément probant indiquant que des comptes LastPass ont été compromis ou que des informations d’identifications d’utilisateurs ont été collectées par des logiciels malveillants ou par le biais de campagnes de phishing.
Des alertes déclenchées par erreur
L’éditeur du gestionnaire de mots de passe, qui explique prendre ces alertes très au sérieux, a continué son enquête et aurait finalement trouvé la cause du problème : les alertes de sécurité, envoyées à un nombre limité d’utilisateurs, auraient été envoyées « par erreur ». La firme, qui indique avoir depuis ajusté son système de sécurité, assure que le problème est à présent résolu.
À découvrir aussi en vidéo :
LogMeIn rappelle par ailleurs qu’aucun mot de passe maître de LastPass n’est stocké sur ses serveurs. La firme, qui explique en détail dans son billet de blog comment son service est sécurisé, donne par la même occasion quelques recommandations, souvent de bon sens, à ses utilisateurs.
Elle les invite à créer un mot de passe maître fort, par exemple une phrase longue ou une série de mots, à activer la double authentification, à ne jamais utiliser plusieurs fois le même mot de passe et à ne jamais réutiliser des mots de passe sur plusieurs services, ceux-ci pouvant potentiellement se trouver dans des fuites de données.
Source : LastPass
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.