À la suite de rapports sur des tentatives de connexion inhabituelles et alors que des utilisateurs ont signalé la réception d'emails de blocage d'accès, le gestionnaire de mots de passe LastPass informe que rien n'indique la compromission de comptes par des tiers non autorisés.
UPDATE: To reiterate, we have no indication that #LastPass was breached or compromised.
— LastPass (@LastPass) December 29, 2021
Here’s how LastPass protects you and steps you can take to stay secure: https://t.co/gNNjx333ps pic.twitter.com/rcWSIo9Q1x
LastPass précise avoir enquêté sur une possible tentative de credential stuffing. Ce type de cyberattaque fait généralement référence à une réutilisation d'identifiants volés (à la suite de fuites de données pour des services tiers) et par exemple trouvés sur le darknet. Des attaquants peuvent s'appuyer sur un botnet pour effectuer massivement des tentatives de connexion.
Par ailleurs, si des alertes de sécurité ont été déclenchées, l'envoi à un sous-ensemble dit limité d'utilisateurs est présenté comme une erreur et le problème a été résolu. LastPass ajoute également ne pas stocker, ne pas avoir connaissance ou avoir accès au mot de passe maître d'un utilisateur.
La déclaration rassurante de LastPass ne dispense pas pour autant de prendre des mesures comme le renforcement de la protection de la connexion à un compte via l'activation de l'authentification à plusieurs facteurs dans les paramètres.
Les alertes de sécurité avaient semé le trouble en évoquant des tentatives de connexion depuis divers pays. De quoi légitimement nourrir quelques inquiétudes et inciter à modifier un mot de passe maître.
