Des utilisateurs du gestionnaire de mots de passe s’inquiétaient de messages d’alertes de sécurité reçus par mail. LastPass explique n’avoir aucune indication que des comptes ont effectivement été compromis par cette attaque.

Plusieurs témoignages, repris par certains médias spécialisés, évoquaient le 28 décembre 2021 des tentatives d’intrusion dans des dizaines de comptes du gestionnaire de mots de passe LastPass. Ce ne serait pas le cas : l’entreprise explique ne pas être compromise, certains messages d’alerte auraient été envoyés par erreur.

Une alerte de sécurité par mail

L’annonce d’une faille ou d’une compromission de données sensibles est toujours une mauvaise nouvelle. Mais quand elle touche votre gestionnaire de mots de passe, la panique est de mise. Un gestionnaire de mots de passe comme LastPass ou Dashlane est une garantie de sécurité supplémentaire, l’assurance qu’une fuite de données ou un vol d’identifiants n’exposera pas tous vos comptes en même temps. Ces applications permettent de générer des mots de passe complexes, propres à chaque site ou application, et de les stocker de façon sécurisée.

Ces mots de passe sont protégés dans un compte, qui fait office de coffre-fort, par un unique mot de passe dit « maître ». Mais ici, des témoignages postés sur un forum spécialisé puis sur Twitter évoquaient des tentatives de connexion à leur compte LastPass en utilisant, d’après un mail, leur mot de passe maitre. « Si c’est le cas, je suis dans un monde de souffrance », se désespérait l’auteur d’un post sur le forum Hacker News.

D’après LastPass, pas de comptes compromis

Dans un premier communiqué transmis par mail au média spécialisé The Record, LastPass a déclaré le 28 décembre 2021 que des investigations étaient en cours sur ce la société pensait être une tentative de « credential stuffing ». Il s’agit d’un type de cyber-attaque qui utilise des identifiants volés pour essayer, automatiquement, de se connecter aux autres comptes d’un utilisateur. Mais LastPass nie toute fuite de ses données.

Schéma qui explique comment est menée une attaque par credential stuffing // Source : Neal Mueller - OWASP
Schéma qui explique comment est menée une attaque par credential stuffing. // Source : Neal Mueller – OWASP

Dans un second communiqué plus détaillé, partagé ce 29 décembre 2021 à The Verge, LastPass a indiqué n’avoir pour l’instant aucune indication que des comptes ont effectivement été compromis par cette attaque. Toujours d’après l’entreprise, certaines des alertes de sécurité qui ont alarmé les utilisateurs étaient « probablement déclenchées par erreur » à cause d’un problème qui aurait depuis été réglé.

Quelques bonnes pratiques pour garder l’esprit tranquille

Même si ici le danger semble écarté, une bonne pratique dans ce genre de cas est de systématiquement changer votre mot de passe quand une alerte de sécurité touche un service que vous utilisez. Cette mesure d’hygiène numérique peut être pénible, mais il est au moins conseillé de le faire pour les comptes les plus sensibles : services bancaires, gestionnaires de mots de passe, adresses mails.

Concernant votre mot de passe maître, celui qui permet d’accéder à votre gestionnaire de mots de passe, il est essentiel de respecter quelques recommandations pour que vos identifiants soient efficacement protégés.

Il doit d’abord respecter des règles de complexité (nombre élevé de signes, caractères spéciaux, majuscules, pas le prénom d’un membre de votre famille ou de votre chien, etc). Cela, pour qu’il ne soit pas possible de l’attaquer par force brute, c’est-à-dire en essayant de façon automatisé toutes les possibilités, ou en utilisant des dictionnaires spécialisés dans les mots de passe courants

Enfin ce mot de passe doit être unique, ne surtout pas être utilisé pour un autre compte, sans quoi il perdrait son utilité en cas de fuite de données. Un bon moyen pour se souvenir de ce mot de passe maître est d’utiliser une phrase, une suite de mots avec quelques caractères spéciaux, plutôt qu’une simple succession de signes aléatoires.

Il est également plus que conseillé d’activer la double authentification, ou 2FA, qui est disponible pour LastPass. Ce système envoie à chaque nouvelle connexion un code par SMS ou mail qui permet de valider qui essaye d’accéder à votre compte, et donc de bloquer un potentiel pirate qui aurait accès à vos identifiants.

une comparateur meilleur gestionnaire mdp numerama

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.