Google détecte une faille dans LastPass

Sécurité : Le gestionnaire de mot de passe a corrigé une faille de sécurité détectée par les ingénieurs de Google Zero. Celle-ci permettait à un attaquant de mettre la main sur les mots de passe de l’utilisateur. Gênant.

Tavis Ormandy continue sur sa lancée : le chercheur de l’équipe Google Zero s’attaque maintenant au gestionnaire de mot de passe Lastpass. Similaire à Dashlane ou à d’autres sur le marché, il permet à un utilisateur de générer et de conserver automatiquement des mots de passe complexes et donc particulièrement solides. L’ensemble des mots de passe ainsi générés par le gestionnaire sont protégés derrière un mot de passe maître, qui permet à l’utilisateur de déverrouiller l’accès à l’ensemble de ses mots de passe quand il en a besoin.

 

Mais concrètement, si l’accès à votre gestionnaire de mot de passe est percé à jour alors l’ensemble de vos mots de passe est exposé. C’est pourquoi les failles de sécurité affectant ce type de programme méritent d’être corrigées au plus vite. C’est une des raisons ayant poussé Tavis Ormandy, chercheur au sein de l’équipe Google Zero, à se pencher sur l’outil.

Jamais deux sans trois

Il est parvenu à déceler une première faille permettant à un attaquant d’envoyer des instructions à Lastpass si l’utilisateur se connecte sur un site contrefait. Cette faille exploite un script de Lastpass, qui permet à l’attaquant d’accéder aux Lastpass RPC (Remote Procedure Call), des instructions internes au programme Lastpass et qui permettent à l’attaquant de forcer Lastpass à se soumettre à une série d’instructions pouvant conduire notamment à révéler les mots de passe de l’utilisateur.

Cette faille affecte spécifiquement l’extension Chrome pour Lastpass, mais le chercheur précise que si l’utilisateur dispose de l’exécutable desktop de Lastpass, celle-ci peut également permettre l’exécution de code malveillant sur la machine de la cible.

Dans le même intervalle de temps, Tavis Ormandy a également débusqué une faille similaire dans l’extension Firefox de Lastpass. Celle-ci affectait la version 3.3.2 de l’extension et permettait là aussi à un attaquant de dérober les mots de passe de la cible en forçant celui-ci à accéder à une page piégée.

Lastpass a publié des correctifs afin de combler les différentes failles décelées par le chercheur et précise également auprès de The Register que les versions 3.x de son extension Firefox seront bientôt obsolètes, invitant du même coup les utilisateurs à migrer vers les versions 4.x.

Rude semaine pour Lastpass ? Le gestionnaire de mot de passe n’est pourtant pas au bout de ses peines : Tavis Ormandy a en effet signalé avoir découvert une nouvelle faille du programme ce matin même.

Google détecte une faille dans LastPass

Source : L’article << Google détecte une faille dans LastPass >> est extrait de ZDNet

Une sélection d'articles qui pourraient vous intéresser ...

rester-informer
Ne manquez plus rien!
Abonnez-vous dès maintenant aux infos de SOSVirus et recevez chaque mois, le meilleur de la sécurité informatique : news, tutos, hacking, alerte ransomware, spam alerte ...

Par | 2017-03-23T00:50:05+00:00 mars 23rd, 2017|Actualité|0 commentaire

Laisser un commentaire