Posté le décembre 31, 2021 à 13:42
LES VICE-PRÉSIDENTS DE LASTPASS AFFIRMENT QU’IL N’Y A AUCUN SIGNE DE VIOLATION MALGRÉ LES ALERTES DE SÉCURITÉ
LastPass a suscité beaucoup d’inquiétude chez ses utilisateurs après une situation survenue en début de semaine. Des centaines d’utilisateurs se sont rendus sur diverses plateformes de médias sociaux pour signaler qu’ils recevaient des alertes de compromission de leurs comptes.
Cependant, deux vice-présidents de la plateforme ont publié des déclarations sur la question, afin de ramener le calme parmi les centaines d’utilisateurs qui sont désormais inquiets pour la sécurité de leurs comptes.
Les vice-présidents de LastPass ne tiennent pas compte des alertes de sécurité
Les deux vice-présidents de l’entreprise ont réagi après une activité débordante des utilisateurs des médias sociaux. Il y a deux jours, des utilisateurs se sont plaints sur des sites tels que Twitter et Reddit qu’ils recevaient des notifications indiquant que leur mot de passe était utilisé par quelqu’un d’autre.
Certains de ces utilisateurs ont également déclaré qu’après avoir reçu la première notification, ils ont changé leur mot de passe principal. Cependant, ils ont ensuite reçu une autre alerte leur indiquant que quelqu’un essayait d’accéder à leur compte.
En début de semaine, la société a publié un communiqué de presse à ce sujet. Au cours de ce communiqué, elle a indiqué que l’équipe de sécurité de l’entreprise avait analysé et enquêté sur cette affaire. L’équipe de sécurité a détecté plusieurs rapports de tentatives de Credential Stuffing sur des comptes d’utilisateurs.
Le Credential stuffing est une technique permettant aux hackers de voler les informations d’identification des comptes d’utilisateurs pour y accéder. Parmi les informations auxquelles ils ont tenté d’accéder figurent les noms d’utilisateur, les mots de passe, etc.
Le vice-président de LastPass, Gabor Angyal, a noté que « Bien que nous ayons observé une petite recrudescence de cette activité, nous utilisons de multiples méthodes techniques, organisationnelles et opérationnelles conçues pour nous protéger contre les tentatives de Credential stuffing. Nous tenons également à vous rassurer que rien n’indique, à l’heure actuelle, que LastPass ou LogMeIn ait été violé ou compromis. »
La société a développé les propos du vice-président. Dans une déclaration publiée mercredi, la société a indiqué qu’elle avait lancé des enquêtes sur cette affaire. Elle a indiqué qu’elle tenait compte des rapports des utilisateurs recevant des e-mails leur indiquant que leurs e-mails étaient bloqués.
La plateforme a également noté que ces e-mails relatifs à l’accès bloqué sont généralement envoyés aux utilisateurs qui se connectent à l’aide de différents appareils et depuis différents endroits. Lors des enquêtes préliminaires, l’entreprise a constaté que les alertes sur les personnes tentant de cibler divers comptes étaient attribuées à un credential stuffing. Diverses tentatives de connexion à ces comptes ont déclenché les alertes.
Dans sa déclaration de mercredi, Angyal a ajouté : « Par pure prudence, nous avons continué à enquêter pour déterminer ce qui provoquait le déclenchement des e-mails d’alerte de sécurité automatisés depuis nos systèmes. Notre enquête a depuis révélé que certaines de ces alertes de sécurité, envoyées à un sous-ensemble limité d’utilisateurs de LastPass, ont probablement été déclenchées par erreur. En conséquence, nous avons ajusté nos systèmes d’alerte de sécurité, et ce problème a été résolu depuis. »
Angyal a également assuré aux utilisateurs que leurs informations d’identification n’avaient pas pu être consultées, car LastPass ne connaissait pas ces mots de passe maîtres et ne les stockait pas et n’y avait pas accès.
L’autre vice-président qui a également rassuré les utilisateurs est Dan DeMichele, qui a envoyé un avis à plusieurs publications. L’avis contenait des détails qui ont également été mis en avant par Angyal pour assurer aux utilisateurs que leurs données n’ont pas été volées.
Les utilisateurs ne sont pas rassurés
La déclaration des deux dirigeants n’a toutefois pas contribué à rassurer les utilisateurs sur la sécurité de leurs comptes. Craig Lurey, directeur technique de Keeper, une plate-forme de gestion des mots de passe, a fait remarquer que le credential stuffing restait une menace majeure pour les utilisateurs. Lurey a noté que le credential stuffing était une technique principalement utilisée par les attaquants pour provoquer une lassitude face aux violations, après quoi ils lancent leur attaque.
Dans une déclaration, M. Lurey a indiqué qu' »en raison d’une multitude de violations et d’alertes tout au long de l’année 2021, les consommateurs sont devenus apathiques à l’égard des comptes compromis. En fait, une enquête récente de l’Identity Theft Resource Centre a révélé que 16 % des victimes de violations ne prennent absolument aucune mesure pour sécuriser à nouveau leurs comptes. »
M. Lurey a également noté que les cybercriminels étaient persistants lorsqu’ils utilisaient la technique credential stuffing. Les hackers ont réussi à comprendre l’esprit humain, sachant que les utilisateurs finiront par considérer ces notifications comme une escroquerie, alors qu’en fait, elles pourraient les alerter d’une réelle compromission.
Il a également été conseillé aux utilisateurs de LastPass d’utiliser un processus d’authentification multifactorielle ou un système biométrique. Ces techniques pourraient être utilisées pour définir les mots de passe maîtres de ces comptes. Il y a deux semaines, la société mère de LastPass, LogMeIn, a annoncé qu’elle procédait à son absorption complète.