Les utilisateurs du logiciel de gestion de mots de passe LastPass ont rapporté la semaine dernière avoir reçu des e-mails de la société concernant des tentatives de connexion non autorisées utilisant leur mot de passe maître individuel. LastPass a pris position sur ce qui s’est passé et a assuré qu’aucune information utilisateur n’avait été partagée avec des tiers.
Que s’est-il passé ?
Le 28 décembre 2021, les utilisateurs du gestionnaire de mots de passe LastPass ont attiré l’attention sur la plateforme Hacker News en leur indiquant qu’ils avaient reçu des e-mails du fournisseur de services les informant de tentatives de connexion bloquées avec leur mot de passe maître dans des endroits inhabituels. Les e-mails n’avaient pas les caractéristiques typiques des emails de phishing et semblaient authentiques. Des soupçons ont été soulevés selon lesquels LastPass avait été victime d’une fuite de données et avait transmis des informations à des tiers non autorisés.
Après un examen approfondi de cette activité inhabituelle, LastPass a assuré qu’aucune donnée utilisateur n’avait été compromise, ni que le fournisseur de services n’avait été victime d’une attaque par logiciel malveillant ou d’une campagne de phishing. Au lieu de cela, une activité de bots a été soupçonnée d’être derrière les événements.
Des enquêtes ultérieures ont finalement révélé que l’envoi des e-mails était dû à une erreur du système d’alarme. Un nombre limité d’utilisateurs de LastPass avaient reçu par erreur des alertes de sécurité automatisées de la part de l’entreprise, déclenchées sans raison.
LastPass a ajusté ses systèmes d’alerte de sécurité en réponse à l’incident, s’assurant qu’en utilisant le modèle de sécurité à connaissance zéro , aucun mot de passe maître des utilisateurs ne serait stocké à aucun moment sur les serveurs de l’entreprise .
Que puis-je faire ?
Utilisez toujours des mots de passe forts et ne les utilisez jamais plusieurs fois pour différentes applications.
Si vous utilisez aussi le mot de passe maître de votre gestionnaire de mots de passe pour d’autres applications ou outils, ajustez-le immédiatement.
Dans tous les cas, si vous êtes utilisateur d’un outil sensible comme un gestionnaire de mots de passe, vous devriez activer l’authentification à deux facteurs. Cela vous aidera à garantir que des personnes non autorisées n’accédent pas à vos systèmes.
Si vous soupçonnez que votre mot de passe a été compromis, changez-le immédiatement ! Ce qui suit s’applique ici : mieux vaut prévenir que guérir.
