Début mai, LastPass avertissait ses clients : il faudrait peut-être se reconnecter à leur compte et réinitialiser l’authentification multifacteur (MFA), en vue d’une importante mise à jour de sécurité côté serveurs le 9 mai.
Seulement voilà, de nombreux utilisateurs ont indiqué dans les forums de LastPass qu’ils avaient été « éjectés » de leur compte, sans possibilité d’y retourner, juste après avoir réinitialisé la MFA. Se connecter avec le mot de passe maître n’y changeait rien, pas plus que la demande de réinitialisation de ce mot passe par email, le courrier n’arrivant apparemment pas, rapporte Bleeping Computer.
Problème pour beaucoup, impossible de contacter le support, y compris Premium : la manipulation se fait depuis l’application ou l’extension pour navigateur. Impossible donc puisque les personnes concernées ne peuvent plus se connecter.
Du côté de l’entreprise, on explique utiliser une version renforcée de Password-Based Key Derivation Function (PBKDF2), pour créer des dérivations du mot de passe maître. La mise à jour du 9 mai était nécessaire pour déclencher les nouvelles dérivations chez tout le monde.
Elle indique également qu’un message est apparu dans toutes les applications pendant plusieurs semaines, pour inviter les utilisateurs à se mettre à jour avant le 9 mai. Un email a également été envoyé un mois avant la date fatidique. Cependant, on ne se rend pas forcément souvent dans l’application, et beaucoup désactivent les emails d’informations.
LastPass explique en outre que cette demande de réinitialisation datait initialement de plusieurs mois, suite aux problèmes de sécurité rencontrés par la société et qui ont nettement dégradé son image. Les problèmes ne toucheraient qu’un petit lot de personnes, sans plus de détails.
LastPass a mis en ligne une vidéo dédiée au problème. La procédure réclame notamment de s’authentifier sur le site officiel depuis un navigateur, et non depuis l’extension. La société ajoute qu’il sera alors possible de réinitialiser l’appairage entre le service et l’application utilisée pour l’authentification (LastPass/Google/Microsoft Authenticator et autres).
À la prochaine connexion sur un autre service, il sera demandé une vérification de la position géographique ainsi qu’une nouvelle reconnexion.
