Crainte sur la sécurité de LastPass : que s’est-il passé ?

  • Messages : 174

Crainte sur la sécurité de LastPass : que s’est-il passé ? a été créé par Modérateur du Forum

Des utilisateurs du gestionnaire de mots de passe s’inquiétaient de messages d’alertes de sécurité reçus par mail. LastPass explique n’avoir aucune indication que des comptes ont effectivement été compromis par cette attaque.

Plusieurs témoignages, repris par certains médias spécialisés , évoquaient le 28 décembre 2021 des tentatives d’intrusion dans des dizaines de comptes du gestionnaire de mots de passe LastPass. Ce ne serait pas le cas : l’entreprise explique ne pas être compromise, certains messages d’alerte auraient été envoyés par erreur.

Une alerte de sécurité par mail
L’annonce d’une faille ou d’une compromission de données sensibles est toujours une mauvaise nouvelle. Mais quand elle touche votre gestionnaire de mots de passe , la panique est de mise. Un gestionnaire de mots de passe comme LastPass ou Dashlane est une garantie de sécurité supplémentaire, l’assurance qu’une fuite de données ou un vol d’identifiants n’exposera pas tous vos comptes en même temps. Ces applications permettent de générer des mots de passe complexes, propres à chaque site ou application, et de les stocker de façon sécurisée.

Ces mots de passe sont protégés dans un compte, qui fait office de coffre-fort, par un unique mot de passe dit « maître ». Mais ici, des témoignages postés sur un forum spécialisé puis sur Twitter évoquaient des tentatives de connexion à leur compte LastPass en utilisant, d’après un mail, leur mot de passe maitre. « Si c’est le cas, je suis dans un monde de souffrance », se désespérait l’auteur d’un post sur le forum Hacker News .

D’après LastPass, pas de comptes compromis
Dans un premier communiqué transmis par mail au média spécialisé The Record , LastPass a déclaré le 28 décembre 2021 que des investigations étaient en cours sur ce la société pensait être une tentative de « credential stuffing ». Il s’agit d’un type de cyber-attaque qui utilise des identifiants volés pour essayer, automatiquement, de se connecter aux autres comptes d’un utilisateur. Mais LastPass nie toute fuite de ses données.
Fichier attaché :
Schéma qui explique comment est

Dans un second communiqué plus détaillé, partagé ce 29 décembre 2021 à The Verge, LastPass a indiqué n’avoir pour l’instant aucune indication que des comptes ont effectivement été compromis par cette attaque. Toujours d’après l’entreprise, certaines des alertes de sécurité qui ont alarmé les utilisateurs étaient « probablement déclenchées par erreur » à cause d’un problème qui aurait depuis été réglé.

Quelques bonnes pratiques pour garder l’esprit tranquille
Même si ici le danger semble écarté, une bonne pratique dans ce genre de cas est de systématiquement changer votre mot de passe quand une alerte de sécurité touche un service que vous utilisez. Cette mesure d’hygiène numérique peut être pénible, mais il est au moins conseillé de le faire pour les comptes les plus sensibles : services bancaires, gestionnaires de mots de passe, adresses mails.

Concernant votre mot de passe maître, celui qui permet d’accéder à votre gestionnaire de mots de passe, il est essentiel de respecter quelques recommandations pour que vos identifiants soient efficacement protégés.

Il doit d’abord respecter des règles de complexité (nombre élevé de signes, caractères spéciaux, majuscules, pas le prénom d’un membre de votre famille ou de votre chien, etc). Cela, pour qu’il ne soit pas possible de l’attaquer par force brute, c’est-à-dire en essayant de façon automatisé toutes les possibilités, ou en utilisant des dictionnaires spécialisés dans les mots de passe courantsEnfin ce mot de passe doit être unique, ne surtout pas être utilisé pour un autre compte, sans quoi il perdrait son utilité en cas de fuite de données. Un bon moyen pour se souvenir de ce mot de passe maître est d’utiliser une phrase, une suite de mots avec quelques caractères spéciaux, plutôt qu’une simple succession de signes aléatoires.

Il est également plus que conseillé d’ activer la double authentification , ou 2FA, qui est disponible pour LastPass. Ce système envoie à chaque nouvelle connexion un code par SMS ou mail qui permet de valider qui essaye d’accéder à votre compte, et donc de bloquer un potentiel pirate qui aurait accès à vos identifiants.

Alexandre Horn - Numerama - décembre 2021 ( Cliquer ici pour accéder à l'article original )
Dernière édition: 02 Jan 2022 17:56 par Modérateur du Forum.
02 Jan 2022 17:49 #1
  • Vous pouvez: Créer un nouveau sujet.
  • Vous pouvez: Répondre au sujet.
  • Vous pouvez: Ajouter des images.
  • Vous ne pouvez pas: Ajouter des fichiers.
  • Vous ne pouvez pas: Éditer votre message.
Modérateurs: Modérateur du Forum
© 2022 CAP des Clayes

Paramétrages de cookies

×

Cookies fonctionnels

Ce site utilise des cookies pour assurer son bon fonctionnement comme la gestion des sessions. Ces cookies ne sont pas utilisés à des fins publicitaires. S'ils sont bloqués dans les paramètres de votre navigateur , certaines parties du site ne pourront pas fonctionner.

Contenus interactifs

Ce site utilise des composants tiers, comme des "Captchas". Ces derniers peuvent déposer des cookies sur votre machine. Si vous décidez de bloquer un composant, le contenu ne s’affichera pas mais certaines fonctions d'authentification risquent de ne pas fonctionner et/ou bloquer l'accès à certaines pages.

Réseaux sociaux/Vidéos

Des plug-ins de réseaux sociaux et de vidéos, qui exploitent des cookies ne sont pas présents sur ce site web mais peuvent être déposés si vous vous connectez à ces types de site via un lien.

Session

Veuillez vous connecter pour voir vos activités!

Autres cookies

Ce site comporte des liens vers des sites externes. Ces derniers peuvent déposer des cookies tiers sur votre machine, vous pouvez les refuser sans problèmes pour limiter le pistage.