Publié dans Logiciel

18

De gros problèmes chez LastPass avec les authentifications MFA

De gros problèmes chez LastPass avec les authentifications MFA

Début mai, LastPass avertissait ses clients : il faudrait peut-être se reconnecter à leur compte et réinitialiser l’authentification multifacteur (MFA), en vue d’une importante mise à jour de sécurité côté serveurs le 9 mai.

Seulement voilà, de nombreux utilisateurs ont indiqué dans les forums de LastPass qu’ils avaient été « éjectés » de leur compte, sans possibilité d’y retourner, juste après avoir réinitialisé la MFA. Se connecter avec le mot de passe maître n’y changeait rien, pas plus que la demande de réinitialisation de ce mot passe par email, le courrier n’arrivant apparemment pas, rapporte Bleeping Computer.

Problème pour beaucoup, impossible de contacter le support, y compris Premium : la manipulation se fait depuis l’application ou l’extension pour navigateur. Impossible donc puisque les personnes concernées ne peuvent plus se connecter.

Du côté de l’entreprise, on explique utiliser une version renforcée de Password-Based Key Derivation Function (PBKDF2), pour créer des dérivations du mot de passe maître. La mise à jour du 9 mai était nécessaire pour déclencher les nouvelles dérivations chez tout le monde.

Elle indique également qu’un message est apparu dans toutes les applications pendant plusieurs semaines, pour inviter les utilisateurs à se mettre à jour avant le 9 mai. Un email a également été envoyé un mois avant la date fatidique. Cependant, on ne se rend pas forcément souvent dans l’application, et beaucoup désactivent les emails d’informations.

LastPass explique en outre que cette demande de réinitialisation datait initialement de plusieurs mois, suite aux problèmes de sécurité rencontrés par la société et qui ont nettement dégradé son image. Les problèmes ne toucheraient qu’un petit lot de personnes, sans plus de détails.

LastPass a mis en ligne une vidéo dédiée au problème. La procédure réclame notamment de s’authentifier sur le site officiel depuis un navigateur, et non depuis l’extension. La société ajoute qu’il sera alors possible de réinitialiser l’appairage entre le service et l’application utilisée pour l’authentification (LastPass/Google/Microsoft Authenticator et autres).

À la prochaine connexion sur un autre service, il sera demandé une vérification de la position géographique ainsi qu’une nouvelle reconnexion.

18

Tiens, en parlant de ça :

Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

662e édition des LIDD : Liens Intelligents Du Dimanche

Du X11 à la sauce Windows 3, rêve ou cauchemar ?

00:00 Next 6
dessin satirique de Flock

#Flock plaque des claques sans talc

Envie de réconfort et de croire en l’avenir ?

13:37 Flock 17
Des personnages effondrés : WTF ?!

Les campagnes anti-piratage incitent les hommes à pirater davantage

Pire to pire

16:48 ÉcoSociété 33
next n'a pas de brief le week-end

Le Brief ne travaille pas le week-end.
C'est dur, mais c'est comme ça.
Allez donc dans une forêt lointaine,
Éloignez-vous de ce clavier pour une fois !

18

Commentaires (18)


Le 26/06/2023 à 07h 47

Last pass first emmede


Le 26/06/2023 à 07h 48

First emmerde:bravo:


Pinailleur Abonné
Le 26/06/2023 à 07h 51

J’ai lu cette news ailleurs où il était indiquée que suite au non renouvellement du MFA de beaucouo d’utilisateurs, LastPass a forcé la réinitialisation sur les comptes, et c’est ça qui pose problème aux utilisateurs lors de la tentative de reconnexion.


Fbanzay Abonné
Le 26/06/2023 à 07h 58

Très franchement, depuis les nombreuses failles qu’ils ont rencontrées, il serait temps de partir sous d’autre platforme plus robuste. Il leur reste néanmoins des applications mobiles pas trop mal fichu mais si c’est pour devoir rechanger tous ces mots de passe à la prochaine brèche, autant aller voir ailleurs.
En plus, avant qu’ils appliquent ce nouvel algorythme de cryptage, toutes les données ne sont pas cryptés. Seul les mots de passe (et pas leurs titres ou bien les notes). Et comme l’algo utilisé avant n’était pas super solide, les hackers qui ont copié leur backup client, n’ont plus qu’à faire du brute force offline pour accéder aux contenus des comptes en leur possession.
Meme le plugin dans le browser semblait mal implémenté.
C’est une plateforme (devenue payante) qui a eu son temps de gloire.


Le 26/06/2023 à 08h 03

Lastpass :



“Sécurité sans effort de partout.




Nos vies se déroulent en ligne. Travail. Loisirs. Amis et proches. LastPass place votre vie connectée à portée de main, de façon simple et sûre.



:mdr:


Le 26/06/2023 à 08h 55

Le problème avec ces gestionnaires de mots de passes est proche de celui posé par les VPN : bien prendre garde à ne pas faire confiance à un tiers douteux. Petite entreprise dont la pérennité est improbable et/ou qui sera rachetée par une boite peu recommandable. Sauf que les mots de passes, c’est plus crucial que le VPN.


Le 26/06/2023 à 09h 15

Au pire les clients peuvent toujours se tourner vers les hackers qui ont volé les backups, je suis sûr que pour une modique somme, ces derniers peuvent leur fournir leurs mots de passe.


Le 26/06/2023 à 09h 20

Fuyez LastPass, il est plus que temps.



https://infosec.exchange/@epixoip/109585049354200263



Et PBKDF2… Rofl. Pendant ce temps chez Bitwarden on invite les utilisateurs à passer à Argon2id, algo à l’état de l’art côté résistance au brute force.


Le 26/06/2023 à 09h 41

d’un autre coté confier ses mots de passe à un tiers extérieur sans faire une sauvegarde chiffré hors réseau c’est quand même couillu.
Ou alors c’est que ce n’est pas vital…ou alors c’est qu’on est un bisounours qui se dit qu’il n’y aura jamais de rupture de liaison, pas d’attaque informatique rendant les serveurs indisponibles et pas de faillite ou de rachat douteux. Mais ces choses là n’arrivent jamais dans la vraie vie. :pastaper:


Jon Joe Abonné
Le 26/06/2023 à 11h 55

En vrai LastPass, il leur arrive une grosse merde tous les combien? 3, 4, 6 mois?



Comment peut-on encore leur filer du pognon et avoir confiance en eux?


misocard Abonné
Le 26/06/2023 à 12h 17

(reply:2139972:Jon Joe)




Suffit de ne pas se renseigner :)



Sinon, je viens de regarder rapidement des comparatifs.



Sur les numériques ils sont premiers



Et sur le blog du modérateur




Pour stocker les mots de passe, parmi les meilleurs gestionnaires, on retrouve KeePass, 1Password, LastPass, Dashlane, NordPass, LockPass, Keeper, Enpass, RoboForm, ou encore Bitwarden.




3 eme dans la liste (et 2 eme si on met KeePass de coté).



Vu que gérer des mots de passe ça ne doit rien couter (surtout quand on investi peu sur la sécurité) LastPass n’est pas trop en difficulté malgré ses erreurs.


game1337 Abonné
Le 26/06/2023 à 13h 05

Je vois surtout des boulets qui ne lisent pas les mails ou qui n’utilisent l’application qu’une fois toute les 36 du mois pour avoir ce genre de problème.



Je l’utilise en pro tous les jours et je n’ai aucun problème.


greenchris Abonné
Le 26/06/2023 à 14h 43

+1
Utilisateur perso.


Letter Abonné
Le 26/06/2023 à 14h 47

C’est l’effet que m’a fait l’article.
Je suis chez eux et en cours de migration de toute ma famille sur 1Password vu les déboires. Mais pour le coup, ça ressemble surtout à des utilisateurs qui ignorent les communications. Un peu comme partout au final.


darkjack Abonné
Le 26/06/2023 à 17h 45

J’ai du mal à comprendre qu’une boite avec un SI utilise ces services.
Pareil pour les solutions d’assistance à distance ou tout passe par les serveurs de l’éditeur.
Pour la gestion des mots de passe et le contrôle à distance, j’ai mes serveurs : Vaultwarden et Connectwise. A l’abri du grand méchant internet, réseau interne ou vpn depuis l’extérieur. Et rien qui transite chez les éditeurs.
Et pour la gestion de mes mots de passe perso, Keepass, mot de passe cabalistique + fichier clef sur SSD externe, sauvegardé ailleurs aussi.


wild Abonné
Le 26/06/2023 à 20h 06

Content d’avoir migré ma famille vers bitwarden, quand ia news de lastpass “hacké” est parue :P
l’app mobile bitwarden est aussi très pratique, si on compare ça à l’app de lastpass.


Le 26/06/2023 à 21h 21

“Elle indique également qu’un message est apparu dans toutes les applications pendant plusieurs semaines, pour inviter les utilisateurs à se mettre à jour avant le 9 mai. Un email a également été envoyé un mois avant la date fatidique.”



Pour la mise en place on a même fait des mails individuels répétés.
Encore aujourd’hui (10j après la coupure), j’ai un ticket “lol jépafé! Je crois que j’ai plus de VPN mdr”…
Ben oui quand on coupe à telle date, on coupe.



Ou alors “j’ai un truc urgent et là ça marche pas. Non jépalu la doc je l’ai fait à l’instinct”
Mauvais instinct donc -_-
On fait des docs juste pour le fun, c’est connu.


Le 27/06/2023 à 13h 10

A quand l’identification / authentification par paires de clés ?