L'un des gestionnaires de mots de passe les plus populaires et en tête de tous les tests a un peu perdu de son aura après le signalement par de nombreux utilisateurs de tentatives de connexion fantômes provenant de pays étrangers. LastPass enquête sur la possible attaque contre ses serveurs et assure aux utilisateurs qu'elle « continuera à prendre des mesures pour garantir que LastPass, ses utilisateurs et leurs données soient toujours protégés et sécurisés ».

Cependant, le fournisseur du gestionnaire de mots de passe pense que « l'activité est liée à une tentative de bourrage d’identifiants ou « credential stuffing », où un acteur malveillant ou malintentionné tenterait d'accéder à des comptes d'utilisateurs (LastPass, dans le cas présent) en utilisant des adresses de courriel et des mots de passe provenant d’un vol de données tierces auprès de services non affiliés ».

Une cible de choix 

LastPass affirme qu'aucune preuve ne permet de dire avec certitude que des comptes ont été compromis. Quoiqu’il en soit, cet événement qui affecte l’un des premiers gestionnaires de mots de passe sur le net ne peut qu’inquiéter. LastPass se targue de compter des millions d'utilisateurs de son service qui stocke les mots de passe dans un coffre-fort crypté en ligne accessible à partir des iPhone, iPad, Apple Watch et Mac. Les utilisateurs, qui accèdent à ce coffre-fort à l'aide d'un mot de passe maître, craignent qu'il ait été compromis.

En 2019, LastPass avait corrigé un bug identifié dans l'extension pour navigateur au motif qu’il aurait pu exposer des identifiants de site renseignés automatiquement par LastPass. Suite à cet évènement, on ne peut qu’inviter les propriétaires d’un compte LastPass à changer rapidement leur mot de passe maître. Cependant, certains utilisateurs signalent des activités suspectes même après avoir changé leur mot de passe. Il est également conseillé d'activer l'authentification à deux facteurs A2F, qui ajoute un niveau de sécurité supplémentaire (SMS, mot de passe à usage unique, ou biométrie) pour autoriser la connexion.