Mobilité

LastPass : aucun mot de passe n’a été compromis lors des

LastPass : aucun mot de passe n'a été compromis lors des dernières alertes de sécurité

Une alerte de sécurité est apparue mardi dernier pour les utilisateurs de
LastPass. Certains utilisateurs ont déclaré avoir reçu des courriels de
LastPass, les avertissant que le service avait bloqué des tentatives d’accès non
autorisées à leurs comptes. Comme l’a d’abord rapporté AppleInsider, certains
membres de LastPass ont déclaré avoir été informés de multiples tentatives de
connexion, à l’aide de mots de passe maîtres. LastPass a confirmé que les
alertes par courrier électronique étaient liées à une tentative d’attaque alors
que des acteurs malveillants tentent de se connecter à plusieurs comptes avec
des justificatifs d’identité préalablement vérifiés – mais a indiqué qu’aucun
mot de passe principal n’avait été compromis.

Dans une déclaration, Dan DeMichele, vice-président de la gestion des
produits de LastPass, a indiqué que les alertes de sécurité par e-mail avaient
été envoyées à un sous-ensemble limité d’utilisateurs de LastPass et qu’elles
avaient probablement été déclenchées par erreur. M. DeMichele a déclaré que
LastPass a ajusté ses systèmes d’alerte de sécurité et que le problème a été
résolu.

« Nous avons rapidement enquêté sur cette activité et, à l’heure actuelle,
rien n’indique que des comptes LastPass aient été compromis par un tiers non
autorisé à la suite de cet envoi massif d’informations d’identification, ni que
les informations d’identification LastPass des utilisateurs aient été récupérées
par des logiciels malveillants, des extensions de navigateur malveillantes ou
des campagnes de phishing », a déclaré M. DeMichele. « Cependant, par excès de
prudence, nous avons continué à enquêter afin de déterminer ce qui provoquait le
déclenchement des e-mails d’alerte de sécurité automatisés à partir de nos
systèmes. »

Les alertes et vulnérabilités passées

Ce n’est pas la première fois que
LastPass, dont le code source est propriétaire, est confronté à une alerte de
sécurité ou à des critiques sur ses pratiques de confidentialité. La violation
la plus notable a eu lieu en 2015 et c’est la seule violation signalée sur le
site officiel de LastPass. La même année, le responsable de la sécurité d’Asana,
Sean Cassidy, a découvert une vulnérabilité de phishing créée par un bug CSRF,
et un document de recherche a été publié, détaillant un autre bug CSRF et
expliquant comment l’option de marque-page Safari de LastPass s’est avérée
vulnérable si les utilisateurs étaient incités à cliquer sur certaines parties
du site d’un attaquant.

En 2016, deux vulnérabilités ont été découvertes. L’une a été découverte par
le chercheur en sécurité Mathias Karlsson, l’autre par Tavis Ormandy du Google
Project Zero, cette dernière ayant incité LastPass à exhorter les utilisateurs à
mettre à jour leurs navigateurs. En 2017, le gestionnaire de mots de passe a
corrigé une autre faille de sécurité majeure dans son extension de navigateur —
le talon d’Achille de la plupart des gestionnaires de mots de passe — qui
aurait pu permettre aux pirates de manipuler un compte LastPass. Une recherche
de l’Université de York en 2019 a trouvé une autre vulnérabilité qui permettrait
à des applications copiées malveillantes d’exploiter la fonction de remplissage
automatique de LastPass. Plus tard en 2019, Tavis Ormandy a découvert une
troisième vulnérabilité de l’extension de navigateur — que LastPass a de
nouveau résolue — qui exposerait les informations de connexion que vous avez
saisies sur un site précédemment visité. En février 2021, LastPass était à
nouveau sur la sellette pour son utilisation de trackers web.

En ce qui concerne l’alerte de sécurité de mardi, LastPass a déclaré qu’elle
surveillerait le service pour détecter toute activité inhabituelle ou
malveillante et continuerait à prendre toutes les mesures nécessaires pour
assurer la sécurité des données des utilisateurs.

Contrairement aux audits menés par les concurrents RememBear, NordPass et le
logiciel libre Bitwarden, les audits indépendants de LastPass ne sont pas
intégralement disponibles au public. Et alors que LogMeIn, société mère de Lastpass, conserve une collection d’audits pour plusieurs de ses propriétés,
l’entreprise indique que son audit supplémentaire sur la sécurité du cloud pour
LastPass n’est disponible que si vous signez un accord de non-divulgation.
Traditionnellement, seuls les audits organisationnels de base sont accessibles
au public, ainsi que la liste des entreprises avec lesquelles LastPass
travaille.

À titre de mesure de sécurité préventive, les utilisateurs de LastPass
devraient régulièrement mettre à jour leur mot de passe principal et activer
l’authentification multifactorielle sur leurs comptes. Si vous avez réutilisé
votre mot de passe maître LastPass pour d’autres gestionnaires de mots de passe,
tels que Bitwarden ou 1Password, nous vous conseillons de mettre à jour ces
comptes également. Et n’oubliez pas : si vous utilisez un gestionnaire de mots
de passe, ne réutilisez jamais le mot de passe maître pour un autre site,
service ou application.

Le gestionnaire de mots de passe LastPass est un programme pratique qui vous aide à sécuriser toutes vos informations de connexion sans avoir à les mémoriser toutes. Vous pouvez utiliser LastPass pour vous connecter automatiquement à n’importe quel site.

  • Téléchargements : 783
  • Date de sortie : 13/12/2021
  • Auteur : LastPass
  • Licence : Licence gratuite
  • Catégories :
    InternetUtilitairesSécurité
  • Système d’exploitation : Android – Linux – Windows – iOS iPhone / iPad / Apple Watch – macOS

Article de CNET.com adapté par CNET France


Source link

Articles similaires

Bouton retour en haut de la page