Plus de peur que de mal, c'est en substance le message de Lastpass auprès de certains de ses clients qui ont redouté, il y a quelques jours, de s'être fait dérober le mot de passe maître de leur compte.

En définitive, il n'y a pas eu de tentative d'effraction de leur compte rassure LastPass, mais une erreur de ses systèmes de sécurité. Ceux-ci ont envoyé une alerte qui n'avait pas lieu d'être, elle ne correspondait à aucune activité suspecte.

Notre enquête a depuis révélé que certaines de ces alertes de sécurité, qui ont été envoyées à un sous-ensemble limité d'utilisateurs de LastPass, ont probablement été déclenchées par erreur. En conséquence, nous avons ajusté nos systèmes d'alerte de sécurité et ce problème a depuis été résolu.

Il y a quelques jours, des utilisateurs du gestionnaire de mots de passe avaient reçu des mails leur rapportant des tentatives d'accès à leur compte au moyen de leur mot de passe maître.

Des tentatives bloquées par LastPass car provenant de lieux géographiques (estimés avec les adresses IP) ou entreprises depuis des appareils inhabituels. Mais cela laissait tout de même penser que ces identifiants avaient été obtenus quelque part. Et ces alertes se poursuivaient même après un changement du mot de passe supposément compromis.

LastPass : des mots de passe maître compromis

En complément à plusieurs rappels de bonnes pratiques, LastPass en profite pour souligner qu'il n'a pas moyen de connaître ni d'accéder au mot de passe maître des comptes de ses clients. S'ils venaient à circuler c'est probablement qu'ils ont été utilisés à l'identique ailleurs.