Au début du mois de mai dernier, le gestionnaire de mots de passe LastPass a réalisé une mise à jour de sécurité. Planifiée pour le 9 mai, cette mise à jour annoncée par le biais d’une notification reçue dans l’application demandait aux utilisateurs de réinitialiser leurs réglages en matière d’authentification multifacteurs. Autrement dit, ceux-ci devaient faire une remise à zéro de l’application d’authentification (Google Authenticator, Microsoft Authenticator, LastPass Authenticator, etc.) qu’ils utilisent habituellement pour se connecter à LastPass.
Seul problème, depuis le déploiement de cette mise à jour de sécurité, un certain nombre d’utilisateurs ont été déconnectés de leur trousseau d’accès et se sont retrouvés bloqués. Impossible d’accéder à leurs mots de passe, même après avoir tenté de réinitialiser leur application d’authentification. Le problème, qui dure depuis plusieurs semaines maintenant, commence à faire grincer des dents, notamment face à l’absence de solution de la part de LastPass.
Le serpent qui se mord la queue
Devant ce genre de problème, le premier réflexe est évidemment de prendre contact avec le support du gestionnaire de mots de passe. Malheureusement pour les utilisateurs, l’accès au support de LastPass n’est possible qu’après s’être connecté à son compte LastPass. Une boucle infinie qui laisse les utilisateurs dans une impasse puisqu’ils doivent réinitialiser leur application d’authentification pour accéder à leur compte, mais que la manipulation ne fonctionne pas.
The forced re-sync of MFA is now preventing me from logging in because LastPass won't recognise the new MFA code. I've tried DM'ing but message won't send. What is going on? Clearly this is impacting a lot of users.
— Julie Clarke (@clarbner) June 21, 2023
Pour justifier cette mise à jour, LastPass explique que ce changement a pour but de renforcer la sécurité du compte des utilisateurs. Le gestionnaire de mots de passe utilise un nouvel algorithme de renforcement de mots de passe. Celui-ci est censé complexifier la tâche pour un ordinateur qui serait utilisé pendant une attaque pour tenter de vérifier qu’un mot de passe est le mot de passe maître d’un trousseau.
Une solution pour récupérer l’accès à son compte
En réponse aux utilisateurs touchés par cette avarie, LastPass a mis en ligne une page explicative décrivant la marche à suivre pour récupérer l’accès à son compte LastPass. Pour récupérer l’accès à leur compte LastPass, ils doivent reconfigurer leur application d’authentification multifacteurs en se connectant depuis le site web desktop de LastPass. Sans cela, ils ne pourront pas réutiliser le gestionnaire de mots de passe depuis l’appli mobile ou l’extension de navigateur.
« Pour votre sécurité, vous devrez peut-être réinitialiser votre app d’authentification (LastPass Authenticator, Microsoft Authenticator, Google Authenticator ou Grid) lors de la connexion à LastPass. » indique le gestionnaire de mots de passe en introduction, avant de préciser « Vous devez vous connecter au Site web LastPass dans votre navigateur et reconnecter votre application MFA (Authentification multifacteurs, ndr) avant de pouvoir accéder à LastPass sur votre appareil mobile. Vous ne pouvez pas vous connecter à nouveau à l’aide de l’extension de navigateur LastPass ou de l’app LastPass Password Manager. »
Bien qu’il semble que la communication de LastPass sur ce changement n’ait pas été suffisamment claire, il paraît assez compliqué d’en vouloir à son éditeur. Car le renforcement de la sécurité du gestionnaire de mots de passe intervient quelques mois après que LastPass a été victime de deux importantes attaques menées par des hackers à la fin de l’année 2022.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Bleeping Computer
