Informatique

Lastpass : une erreur interne sème le doute

Lastpass : une erreur interne sème le doute



C’est le genre d’erreur dont Lastpass se serait bien passé. Plusieurs utilisateurs ont indiqué sur Twitter avoir reçu des mails d’alerte provenant de Lastpass les informant que leur mot de passe maître, le mot de passe utilisé pour déverrouiller l’accès aux autres mots de passe identifiés par le gestionnaire de Lastpass, avait été utilisé par un tiers pour tenter d’accéder à leur compte sur la version cloud du service. Lastpass, filiale de LogMeIn, propose un gestionnaire de mot de passe qui permet de stocker dans un espace sécurisé l’ensemble des mots de passe d’un utilisateurs, qui sont protégés par un mot de passe « maître » connu uniquement par l’utilisateur. Le message indiquait également que Lastpass avait bloqué l’accès, étant donné qu’il ne reconnaissait pas l’adresse IP de l’utilisateur tentant d’accéder à leur compte.

La nouvelle a de quoi inquiéter : en règle générale, le mot de passe maître utilisé pour accéder à Lastpass est un mot de passe unique qui n’est pas utilisé sur d’autres services en ligne. Cette annonce laissait donc entendre que des acteurs malveillants étaient parvenus à récupérer une liste de mots de passe maîtres appartenant aux utilisateurs de Lastpass et tentaient de les utiliser pour accéder aux autres mots de passe enregistrés par les utilisateurs pour le service.

Plusieurs utilisateurs se sont inquiétés publiquement de la situation sur les réseaux sociaux, poussant Lastpass à investiguer et à réagir. Et le communiqué publié par Lastpass est venu calmer les inquiétudes : selon la société, aucune compromission de compte Lastpass n’a été identifiée par ses équipes. La société indique que les mails d’alerte reçus par les utilisateurs ont été envoyés suite à des erreurs en interne, et que les équipes du gestionnaire de mot de passe ont pris des mesures afin d’éviter que ce type d’erreur ne se reproduise.


Lastpass rappelle au passage que son service ne stocke aucunement le mot de passe maître des utilisateurs, et qu’il n’est donc pas possible pour un acteur malveillant ayant réussi à pirater le service de récupérer l’ensemble des mots de passe utilisateurs. D’autres alternatives sont néanmoins possibles, comme un logiciel malveillant installé sur les appareils des utilisateurs qui serait en mesure de récupérer le mot de passe tapé au clavier par l’utilisateur qui souhaiterait accéder au service de gestionnaire de mot de passe. Dans ce cas précis, Lastpass indique n’avoir trouvé aucune preuve d’une campagne visant à récolter les mots de passe de ses utilisateurs par le biais d’un logiciel malveillant.




Source link

Articles similaires

Bouton retour en haut de la page