Début mai, LastPass avertissait ses clients : il faudrait peut-être se reconnecter à leur compte et réinitialiser l’authentification multifacteur (MFA), en vue d’une importante mise à jour de sécurité côté serveurs le 9 mai.
Seulement voilà, de nombreux utilisateurs ont indiqué dans les forums de LastPass qu’ils avaient été « éjectés » de leur compte, sans possibilité d’y retourner, juste après avoir réinitialisé la MFA. Se connecter avec le mot de passe maître n’y changeait rien, pas plus que la demande de réinitialisation de ce mot passe par email, le courrier n’arrivant apparemment pas, rapporte Bleeping Computer.
Problème pour beaucoup, impossible de contacter le support, y compris Premium : la manipulation se fait depuis l’application ou l’extension pour navigateur. Impossible donc puisque les personnes concernées ne peuvent plus se connecter.
Du côté de l’entreprise, on explique utiliser une version renforcée de Password-Based Key Derivation Function (PBKDF2), pour créer des dérivations du mot de passe maître. La mise à jour du 9 mai était nécessaire pour déclencher les nouvelles dérivations chez tout le monde.
Elle indique également qu’un message est apparu dans toutes les applications pendant plusieurs semaines, pour inviter les utilisateurs à se mettre à jour avant le 9 mai. Un email a également été envoyé un mois avant la date fatidique. Cependant, on ne se rend pas forcément souvent dans l’application, et beaucoup désactivent les emails d’informations.
LastPass explique en outre que cette demande de réinitialisation datait initialement de plusieurs mois, suite aux problèmes de sécurité rencontrés par la société et qui ont nettement dégradé son image. Les problèmes ne toucheraient qu’un petit lot de personnes, sans plus de détails.
LastPass a mis en ligne une vidéo dédiée au problème. La procédure réclame notamment de s’authentifier sur le site officiel depuis un navigateur, et non depuis l’extension. La société ajoute qu’il sera alors possible de réinitialiser l’appairage entre le service et l’application utilisée pour l’authentification (LastPass/Google/Microsoft Authenticator et autres).
À la prochaine connexion sur un autre service, il sera demandé une vérification de la position géographique ainsi qu’une nouvelle reconnexion.
Commentaires (18)
#1
Last pass first emmede
#2
First emmerde
#3
J’ai lu cette news ailleurs où il était indiquée que suite au non renouvellement du MFA de beaucouo d’utilisateurs, LastPass a forcé la réinitialisation sur les comptes, et c’est ça qui pose problème aux utilisateurs lors de la tentative de reconnexion.
#4
Très franchement, depuis les nombreuses failles qu’ils ont rencontrées, il serait temps de partir sous d’autre platforme plus robuste. Il leur reste néanmoins des applications mobiles pas trop mal fichu mais si c’est pour devoir rechanger tous ces mots de passe à la prochaine brèche, autant aller voir ailleurs.
En plus, avant qu’ils appliquent ce nouvel algorythme de cryptage, toutes les données ne sont pas cryptés. Seul les mots de passe (et pas leurs titres ou bien les notes). Et comme l’algo utilisé avant n’était pas super solide, les hackers qui ont copié leur backup client, n’ont plus qu’à faire du brute force offline pour accéder aux contenus des comptes en leur possession.
Meme le plugin dans le browser semblait mal implémenté.
C’est une plateforme (devenue payante) qui a eu son temps de gloire.
#5
Lastpass :
“Sécurité sans effort de partout.
#6
Le problème avec ces gestionnaires de mots de passes est proche de celui posé par les VPN : bien prendre garde à ne pas faire confiance à un tiers douteux. Petite entreprise dont la pérennité est improbable et/ou qui sera rachetée par une boite peu recommandable. Sauf que les mots de passes, c’est plus crucial que le VPN.
#7
Au pire les clients peuvent toujours se tourner vers les hackers qui ont volé les backups, je suis sûr que pour une modique somme, ces derniers peuvent leur fournir leurs mots de passe.
#8
Fuyez LastPass, il est plus que temps.
https://infosec.exchange/@epixoip/109585049354200263
Et PBKDF2… Rofl. Pendant ce temps chez Bitwarden on invite les utilisateurs à passer à Argon2id, algo à l’état de l’art côté résistance au brute force.
#9
d’un autre coté confier ses mots de passe à un tiers extérieur sans faire une sauvegarde chiffré hors réseau c’est quand même couillu.
Ou alors c’est que ce n’est pas vital…ou alors c’est qu’on est un bisounours qui se dit qu’il n’y aura jamais de rupture de liaison, pas d’attaque informatique rendant les serveurs indisponibles et pas de faillite ou de rachat douteux. Mais ces choses là n’arrivent jamais dans la vraie vie.
#10
En vrai LastPass, il leur arrive une grosse merde tous les combien? 3, 4, 6 mois?
Comment peut-on encore leur filer du pognon et avoir confiance en eux?
#11
Suffit de ne pas se renseigner :)
Sinon, je viens de regarder rapidement des comparatifs.
Sur les numériques ils sont premiers
Et sur le blog du modérateur
3 eme dans la liste (et 2 eme si on met KeePass de coté).
Vu que gérer des mots de passe ça ne doit rien couter (surtout quand on investi peu sur la sécurité) LastPass n’est pas trop en difficulté malgré ses erreurs.
#12
Je vois surtout des boulets qui ne lisent pas les mails ou qui n’utilisent l’application qu’une fois toute les 36 du mois pour avoir ce genre de problème.
Je l’utilise en pro tous les jours et je n’ai aucun problème.
#12.1
+1
Utilisateur perso.
#12.2
C’est l’effet que m’a fait l’article.
Je suis chez eux et en cours de migration de toute ma famille sur 1Password vu les déboires. Mais pour le coup, ça ressemble surtout à des utilisateurs qui ignorent les communications. Un peu comme partout au final.
#13
J’ai du mal à comprendre qu’une boite avec un SI utilise ces services.
Pareil pour les solutions d’assistance à distance ou tout passe par les serveurs de l’éditeur.
Pour la gestion des mots de passe et le contrôle à distance, j’ai mes serveurs : Vaultwarden et Connectwise. A l’abri du grand méchant internet, réseau interne ou vpn depuis l’extérieur. Et rien qui transite chez les éditeurs.
Et pour la gestion de mes mots de passe perso, Keepass, mot de passe cabalistique + fichier clef sur SSD externe, sauvegardé ailleurs aussi.
#14
Content d’avoir migré ma famille vers bitwarden, quand ia news de lastpass “hacké” est parue :P
l’app mobile bitwarden est aussi très pratique, si on compare ça à l’app de lastpass.
#15
“Elle indique également qu’un message est apparu dans toutes les applications pendant plusieurs semaines, pour inviter les utilisateurs à se mettre à jour avant le 9 mai. Un email a également été envoyé un mois avant la date fatidique.”
Pour la mise en place on a même fait des mails individuels répétés.
Encore aujourd’hui (10j après la coupure), j’ai un ticket “lol jépafé! Je crois que j’ai plus de VPN mdr”…
Ben oui quand on coupe à telle date, on coupe.
Ou alors “j’ai un truc urgent et là ça marche pas. Non jépalu la doc je l’ai fait à l’instinct”
Mauvais instinct donc -_-
On fait des docs juste pour le fun, c’est connu.
#16
A quand l’identification / authentification par paires de clés ?