LastPass est un gestionnaire de mots de passe qui utilise lauthentification multifactorielle (AMF) pour augmenter la scurit des mots de passe principaux des utilisateurs. Cependant, certains utilisateurs ont t bloqus de leurs comptes aprs avoir t invits rinitialiser leurs applications dauthentification (par exemple, LastPass Authenticator, Microsoft Authenticator, Google Authenticator) en raison de mises niveau de scurit planifies. Ces problmes durent depuis dbut mai.
Selon plusieurs rapports, les utilisateurs affects ont reu un message les informant quils devaient renregistrer leurs applications dAMF, telles que Google Authenticator ou Microsoft Authenticator, en raison dun changement dans la faon dont LastPass drive la cl de chiffrement partir du mot de passe principal. Cependant, aprs avoir suivi les instructions et renregistr leurs applications dAMF, les utilisateurs se sont retrouvs dans une boucle infinie o ils taient constamment invits rinitialiser leurs applications dAMF chaque tentative de connexion.
De plus, les utilisateurs concerns ne peuvent pas demander de laide au support de LastPass, car cela ncessite de se connecter leur compte, ce quils ne peuvent pas faire car ils sont bloqus par la demande de rinitialisation de lAMF. Certains utilisateurs ont dclar avoir attendu des semaines sans recevoir de rponse du support de LastPass.
La resynchronisation force de MFA m’empche maintenant de me connecter car LastPass ne reconnatra pas le nouveau code MFA. J’ai essay la messagerie prive mais le message n’est pas envoy. Que se passe-t-il? Il est clair que cela impacte beaucoup d’utilisateurs , a dclar un utilisateur.
Aprs avoir rinitialis mon MFA, j’ai compltement perdu l’accs mon coffre-fort. MasterPW ne fonctionne pas et ne se rinitialise pas, et l’e-mail de rinitialisation ne m’est jamais livr. Impossible de contacter mon support ‘Premium’ car une connexion est requise , a ajout un autre.
J’ai t invit ressaisir le mot de passe principal, puis oblig de mettre jour MFA, ce que j’ai fait avec succs, et maintenant je ne peux plus du tout me connecter. Je ne peux mme pas ouvrir de ticket d’assistance car vous devez vous connecter pour faire alors , a dclar un utilisateur, demandant de l’aide sur le site Web de la communaut LastPass.
LastPass indique que les rinitialisations MFA ont t annonces via des messages intgrs l’application pendant plusieurs semaines avant l’annonce initiale : Salut Fabio. Un message intgr l’application a t affich pendant plusieurs semaines et un e-mail a t envoy il y a plus d’un mois. Si vous n’utilisez pas l’application et que vous tes dsabonns de la liste de diffusion par e-mails, je suis dsol que le changement n’ait pas t suffisamment clair .
Hey, Fabio. There was an in-app message populated for several weeks, and an email sent out 1+ months ago. If you don’t use the app, and have unsubscribed emails then I’m sorry the change wasn’t made clear enough.
^AC— LastPass Support (@LastPassHelp) May 10, 2023
Cela a pouss LastPass publier plusieurs avis sur les mises niveau de scurit expliquant que cela est fait pour augmenter les itrations de mot de passe la nouvelle valeur par dfaut de 600 000 tours. Dans un bulletin d’assistance LastPass envoy aux utilisateurs concerns, LastPass a dclar :
Pour augmenter la scurit de votre mot de passe principal, LastPass utilise une version plus puissante que la normale de la fonction de drivation de cl base sur le mot de passe (PBKDF2). Dans sa forme la plus basique, PBKDF2 est un « algorithme de renforcement de mot de passe » qui rend difficile pour un ordinateur de vrifier que n’importe quel mot de passe est le mot de passe principal correct lors d’une attaque compromettante.
LastPass utilise la fonction PBKDF2 implmente avec SHA-256 pour transformer votre mot de passe principal en cl de cryptage. LastPass effectue un nombre personnalisable de tours de la fonction pour crer la cl de chiffrement, avant qu’un seul tour supplmentaire de PBKDF2 ne soit effectu pour crer votre hachage de connexion.
L’ensemble du processus est men ct client. Le hachage de connexion rsultant est celui qui est communiqu avec LastPass. LastPass utilise le hachage pour vrifier que vous saisissez le bon mot de passe principal lorsque vous vous connectez votre compte.
LastPass effectue galement un grand nombre de tours de PBKDF2 ct serveur. Cette implmentation de PBKDF2 ct client et ct serveur garantit que les deux parties de vos donnes – la partie stocke hors ligne localement et la partie stocke en ligne sur les serveurs LastPass – sont parfaitement protges.
Le nombre minimum par dfaut d’itrations de mot de passe est de 600 000 tours (pour les nouveaux comptes et ceux qui mettent jour leur nombre d’itrations existantes).
Sur Twitter, LastPass a dclar un utilisateur :
Salut Sam. Il y a eu un processus de mise niveau de scurit en cours lanc par le systme LastPass, qui augmente les itrations de mot de passe et force une resynchronisation de tous les MFA de l’utilisateur. Si vous rencontrez toujours des problmes de connexion, veuillez m’envoyer l’adresse e-mail concerne par DM pour une vrification de l’tat.
Hi, Sam. There has been an ongoing security upgrade process initiated by the LastPass system, which increases the password iterations and forces a re-sync of all user’s MFA. If you’re still experiencing login trouble, please DM me the affected email address for a status check.
— LastPass (@LastPass) June 21, 2023
Dans un autre avis, la socit indique que les utilisateurs sont invits se rinscrire l’authentification multifacteur pour leur scurit lorsqu’ils se connectent LastPass :
Pour votre scurit, vous devrez peut-tre rinitialiser votre application d’authentification (LastPass Authenticator, Microsoft Authenticator, Google Authenticator) lors de la connexion LastPass.
LasPass communique la procdure dans un document d’assistance et dans une vido
La procdure dtaille requise pour rinitialiser le couplage entre LastPass et l’application d’authentification (LastPass Authenticator, Microsoft Authenticator ou Google Authenticator) est dcrite en dtail dans un document d’assistance.
La prochaine fois que vous vous connecterez un site Web ou une application l’aide de LastPass, vous serez invit vrifier votre position. Lorsque vous vous connectez un site Web ou une application o vous avez utilis LastPass pour vous connecter, vous devez saisir nouveau vos informations d’identification et vous authentifier l’aide de votre application d’authentification.
Les utilisateurs seront galement invits vrifier leur emplacement la prochaine fois qu’ils se connecteront un site Web ou une application en utilisant LastPass comme mesure de scurit supplmentaire.
Dans le cadre du mme processus, les utilisateurs devront ressaisir leurs identifiants de connexion et s’authentifier nouveau l’aide de leur application d’authentification.
Suite aux incidents de 2022, nous avons envoy des e-mails et des communications intgres au produit notre clientle en leur recommandant de rinitialiser leurs secrets MFA avec leur application d’authentification prfre par mesure de prcaution. Cette recommandation a galement t incluse dans les bulletins de scurit que nous avons envoys notre B2C et les clients B2B dbut mars et une deuxime communication par e-mail dbut avril , a dclar un porte-parole de LastPass.
Cependant, un sous-ensemble de nos clients n’a toujours pas pris cette mesure, nous les avons donc incits agir lors de leur prochaine connexion LastPass. Nous avons lanc cette invite dans le produit dbut juin dans l’espoir qu’elle serait obtenir une meilleure rponse que nos e-mails .
Un outil cibl par des cybercriminels
Ces problmes surviennent aprs que LastPass a rvl une faille de scurit. LastPass a t confront l’an dernier une srie d’attaques qui a compromis les donnes sensibles de ses utilisateurs. Certaines dclarations de la socit en dcembre dernier ont fait l’effet d’une bombe et attis l’ire des clients et d’autres acteurs de la communaut. En effet, LastPass avait dj t victime d’une violation de donnes juge « mineure » en aot. l’poque, la socit a dclar qu’un acteur malveillant avait obtenu un accs non autoris via un seul compte de dveloppeur et l’a utilis pour accder des donnes exclusives. Les pirates avaient pu copier des parties du code source et certaines informations techniques propritaires de LastPass.
L’entreprise a dclar l’poque que les mots de passe principaux des clients, les mots de passe chiffrs, les informations personnelles et les autres donnes stockes dans les comptes clients n’taient pas affects. Cependant, en dcembre, LastPass a publi une mise jour sur la brche de scurit et a dclar que les pirates avaient russi accder aux informations personnelles et aux mtadonnes associes, notamment les noms de socit, les noms d’utilisateur final, les adresses de facturation, les adresses email, les numros de tlphone et les adresses IP utilises par les clients pour accder aux diffrents services du gestionnaire de mots de passe.
Conclusion
Les utilisateurs mcontents ont exprim leur frustration sur les rseaux sociaux et les forums, affirmant quils allaient abandonner LastPass et passer dautres gestionnaires de mots de passe. Certains ont galement dclar quils craignaient pour la scurit de leurs donnes stockes dans le coffre-fort de LastPass. Pour Jeremi Gosney, chercheur en scurit, il faut s’loigner du gestionnaire en raison de sa longue histoire d’incomptence .
LastPass na pas encore fait de dclaration officielle sur le problme ni indiqu quand il serait rsolu.
Sources : LastPass (1, 2, 3), commentaires utilisateurs (1, 2)
Et vous ?
Utilisez-vous LastPass comme gestionnaire de mots de passe? Si oui, avez-vous t touch par le problme dAMF?
Quelle est votre opinion sur la faon dont LastPass a gr la situation?
Quelles sont les mesures que vous prenez pour protger vos mots de passe et vos donnes en ligne?
Quels sont les avantages et les inconvnients de lauthentification multifactorielle?
Quel autre gestionnaire de mots de passe utilisez-vous ou envisagez-vous dutiliser?