Passer au contenu

LastPass : des utilisateurs bloqués après la réinitialisation de leur appli d’authentification

Après avoir demandé à ses utilisateurs de réinitialiser leur application d’authentification multifacteurs, le gestionnaire de mots de passe est devenu inaccessible et inutilisable chez un grand nombre d’entre eux.

Au début du mois de mai dernier, le gestionnaire de mots de passe LastPass a réalisé une mise à jour de sécurité. Planifiée pour le 9 mai, cette mise à jour annoncée par le biais d’une notification reçue dans l’application demandait aux utilisateurs de réinitialiser leurs réglages en matière d’authentification multifacteurs. Autrement dit, ceux-ci devaient faire une remise à zéro de l’application d’authentification (Google Authenticator, Microsoft Authenticator, LastPass Authenticator, etc.) qu’ils utilisent habituellement pour se connecter à LastPass.

Seul problème, depuis le déploiement de cette mise à jour de sécurité, un certain nombre d’utilisateurs ont été déconnectés de leur trousseau d’accès et se sont retrouvés bloqués. Impossible d’accéder à leurs mots de passe, même après avoir tenté de réinitialiser leur application d’authentification. Le problème, qui dure depuis plusieurs semaines maintenant, commence à faire grincer des dents, notamment face à l’absence de solution de la part de LastPass.

Le serpent qui se mord la queue

Devant ce genre de problème, le premier réflexe est évidemment de prendre contact avec le support du gestionnaire de mots de passe. Malheureusement pour les utilisateurs, l’accès au support de LastPass n’est possible qu’après s’être connecté à son compte LastPass. Une boucle infinie qui laisse les utilisateurs dans une impasse puisqu’ils doivent réinitialiser leur application d’authentification pour accéder à leur compte, mais que la manipulation ne fonctionne pas.

Pour justifier cette mise à jour, LastPass explique que ce changement a pour but de renforcer la sécurité du compte des utilisateurs. Le gestionnaire de mots de passe utilise un nouvel algorithme de renforcement de mots de passe. Celui-ci est censé complexifier la tâche pour un ordinateur qui serait utilisé pendant une attaque pour tenter de vérifier qu’un mot de passe est le mot de passe maître d’un trousseau.

Une solution pour récupérer l’accès à son compte

En réponse aux utilisateurs touchés par cette avarie, LastPass a mis en ligne une page explicative décrivant la marche à suivre pour récupérer l’accès à son compte LastPass. Pour récupérer l’accès à leur compte LastPass, ils doivent reconfigurer leur application d’authentification multifacteurs en se connectant depuis le site web desktop de LastPass. Sans cela, ils ne pourront pas réutiliser le gestionnaire de mots de passe depuis l’appli mobile ou l’extension de navigateur.

« Pour votre sécurité, vous devrez peut-être réinitialiser votre app d’authentification (LastPass Authenticator, Microsoft Authenticator, Google Authenticator ou Grid) lors de la connexion à LastPass. » indique le gestionnaire de mots de passe en introduction, avant de préciser « Vous devez vous connecter au Site web LastPass dans votre navigateur et reconnecter votre application MFA (Authentification multifacteurs, ndr) avant de pouvoir accéder à LastPass sur votre appareil mobile. Vous ne pouvez pas vous connecter à nouveau à l’aide de l’extension de navigateur LastPass ou de l’app LastPass Password Manager. »

Bien qu’il semble que la communication de LastPass sur ce changement n’ait pas été suffisamment claire, il paraît assez compliqué d’en vouloir à son éditeur. Car le renforcement de la sécurité du gestionnaire de mots de passe intervient quelques mois après que LastPass a été victime de deux importantes attaques menées par des hackers à la fin de l’année 2022.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Opera One - Navigateur web boosté à l’IA
Opera One - Navigateur web boosté à l’IA
Par : Opera

Source : Bleeping Computer


Geoffroy Ondet