Protéger les utilisateurs de LastPass contre la réutilisation des mots de passe

Comme vous l’avez sûrement entendu encore et encore dans l’actualité ces dernières semaines, de grandes marques comme LinkedIn et MySpace ont récemment été victimes de fuites de données et de failles de sécurité. Malheureusement, en cas d’importantes fuites de données comme celles-ci, des millions de noms d’utilisateur et mots de passe se retrouvent dans la nature et à la merci de tous les abus. Et le moyen le plus simple pour les pirates d’exploiter ces identifiants consiste à essayer systématiquement de se connecter à d’autres sites web avec les mêmes combinaisons de noms d’utilisateurs et mots de passe.

Puisque les gens réutilisent fréquemment leurs mots de passe, les pirates accèdent facilement à d’autres comptes sur d’autres sites dans le cadre d’une attaque dite de « réutilisation de mot de passe ». Bien que ces autres sites n’aient pas subi de failles de sécurité, leurs utilisateurs sont en danger s’ils ont utilisé le même mot de passe sur plusieurs sites. Nous avons l’honneur d’être l’un des gestionnaires de mots de passe les plus utilisés, mais cela ne signifie pas que notre service soit immunisé contre de telles tentatives. Et puisque la réutilisation de mots de passe est une pratique si courante (bien que dangereuse), nous faisons tout ce qui est en notre pouvoir pour protéger nos utilisateurs, y compris contre eux-mêmes.

C’est pourquoi notre équipe d’ingénieurs de sécurité surveille en permanence le Web à l’affut de noms d’utilisateurs et mots de passe rendus publics lors du piratage de sites web. Lorsque nous entendons parler d’une nouvelle fuite, nous récupérons immédiatement la liste des noms d’utilisateurs et mots de passe et les comparons à notre base d’utilisateurs afin de détecter d’éventuelles correspondances avec des comptes LastPass. En cas de correspondance, nous désactivons immédiatement le compte pour protéger le coffre-fort de l’utilisateur concerné. Cela fait des années que l’équipe LastPass procède ainsi pour protéger nos utilisateurs de manière proactive.

Quelles mesures avons-nous prises ?

Dans le cas de l’incident LinkedIn récent, la fuite de données date d’il y a quelques années, mais la liste des noms d’utilisateurs et mots de passe vient seulement d’être mise en ligne. En réaction, nous avons désactivé tous les comptes utilisateur LastPass dont les identifiants correspondaient à ceux qui ont été rendus publics. Pour être parfaitement clair, LastPass n’a pas été victime de fuite ni de faille de sécurité. Il s’agit simplement d’une mesure proactive de notre part pour protéger les utilisateurs ayant réutilisé leurs mots de passe sur plusieurs sites, dont des sites piratés.

Est-ce que LastPass a accès à mon mot de passe maître ?

Non, LastPass n’a jamais accès à votre mot de passe maître. Lorsque des mots de passe d’autres sites sont rendus publics, LastPass exploite ces données au sein de scripts qui simulent une tentative de connexion. Le script effectue un hachage PBKDF2 standard, ce que fait LastPass à chaque fois que vous vous connectez pour s’assurer que vous avez saisi le bon mot de passe. Nous comparons ensuite le résultat du script au hachage de mot de passe stocké dans notre base de données. Si les hachages concordent, nous savons que vous avez réutilisé le mot de passe de votre compte LastPass, et votre compte est alors désactivé.

Que peuvent faire les utilisateurs de LastPass ?

Si votre compte a été désactivé, vous serez invité à vous connecter depuis un site de confiance pour vérifier et réactiver votre compte. Pour réactiver votre compte :

  1. Connectez-vous via le coffre-fort web sur https://lastpass.com/.
  2. Le processus de réactivation est déclenché.
  3. Connectez-vous alors via l’extension ou le coffre-fort web, et suivez les instructions pour réinitialiser votre mot de passe maître.

Si vous voyez un message indiquant que votre compte est désactivé lorsque vous essayez de vous connecter, rendez-vous tout simplement sur https://lastpass.com pour lancer la procédure de vérification. Si vous vous connectez depuis un appareil inconnu ou un nouvel emplacement, vous serez invité à vous connecter avec un appareil de confiance ou depuis un emplacement précédent (adresse IP).

Vous pourrez ensuite déverrouiller votre compte et remplacer votre mot de passe maître par un mot de passe plus robuste et sûr.

Nous vous recommandons vivement de relever le Challenge de sécurité LastPass pour analyser votre coffre-fort afin d’identifier les sites sur lesquels vous utilisez un même mot de passe. LastPass pourra alors vous aider à le remplacer par un mot de passe unique plus sûr. Même si vous n’avez pas utilisé votre mot de passe maître LastPass ailleurs, c’est une bonne idée de lancer le Challenge de sécurité pour vérifier que vous utilisez un mot de passe différent sur chaque site web.