LastPass : des alertes e-mail qui sèment le doute auprès des utilisateurs
Alors que certains utilisateurs de Windows 11 voient leur écran HDR devenir jaune, les utilisateurs de LastPass quant à eux rient jaune... En effet, de nombreux utilisateurs affirment que leur mot de passe maître a été compromis après avoir reçu une alerte e-mail pour indiquer qu'une connexion a été effectuée depuis un emplacement inconnu.
Pour rappel, LastPass est une gestionnaire de mots de passe totalement en ligne, accessible en version gratuite, mais aussi en version payante.
Ce même e-mail affirme que la tentative de connexion a été bloquée par LastPass car elle provient d'un emplacement non familier (ou d'un périphérique non reconnu), ou en tout cas anormal vis-à-vis du lieu de connexion habituel de l'utilisateur. Même si la connexion est bloquée, cela signifie que le mot de passe maître permettant d'accéder au coffre-fort de mots de passe est bien compromis. Les utilisateurs concernés et qui ont reçu cet e-mail n'ont pas hésité à partager l'information sur Internet, notamment sur Twitter et Reddit.
De son côté LastPass a analysé la situation et d'après eux c'est un bot qui est à l'origine de ces connexions malveillantes. Cela voudrait dire qu'il n'y a pas eu de piratage, compromission ou fuite de données directement chez LastPass. En fait, certains utilisateurs seraient victimes de ce que l'on appelle le credential stuffing.
Pour être précis, cela signifie que les identifiants (nom d'utilisateur + mot de passe) utilisés pour se connecter à LastPass sont issus d'autres fuites de données liées à des attaques précédentes sur des services tiers. Si un utilisateur a défini le même nom d'utilisateur et le même mot de passe sur LastPass que sur un autre service victime d'une fuite de données, et bien cela facilite la découverte du compte LastPass.
Ce qui est étonnant, c'est que certains utilisateurs touchés assurent que leur mot de passe LastPass n'est pas utilisé ailleurs. Ce qui pose question... Mais pour se justifier, LastPass affirme qu'une partie de ces alertes ont étaient envoyées par erreur, tandis que d'autres seraient liées à des attaques de type credential stuffing. S'il s'avère bel et bien d'un bug, il faut avouer que cela sème le doute !
Remarque : cet article est l'occasion de préciser qu'il est indispensable d'avoir un mot de passe maître robuste pour son coffre-fort de mots de passe, et que ce mot de passe doit être unique (dans le sens où vous ne l'utilisez pas ailleurs).
Compte tenu de la situation, il est recommandé aux utilisateurs de LastPass de modifier leur mot de passe maître par précaution.