LastPass, qui est considéré aujourd'hui comme l'application de gestion de mots de passe la plus populaire, a résolu le problème signalé dans la version 4.33.0 du 12 septembre. Bien que LastPass indique que la mise à jour doit être appliquée automatiquement, vous devez absolument vérifier que vous utilisez la version la plus récente de l'extension de navigateur du service, en particulier si vous utilisez un navigateur qui vous permet de désactiver les mises à jour automatiques des extensions. Le bogue a été corrigé avec la version 4.33.0 de l'extension. Si les utilisateurs n'ont pas activé de mécanisme de mise à jour automatique pour leurs extensions de navigateur LastPass, il leur est conseillé d'effectuer une mise à jour manuelle le plus rapidement possible.
Dans un billet de blog, Ferenc Kun de l'équipe de sécurité de LastPass a déclaré :
« Notre équipe a récemment étudié et résolu un bogue affectant certaines extensions LastPass. Tavis Ormandy, chercheur en sécurité dans le cadre du projet zéro de Google, nous a révélé le problème de manière responsable. Son rapport révélait un ensemble limité de circonstances sur des extensions de navigateur spécifiques pouvant permettre à un attaquant de créer un scénario de détournement de clic.
« Pour exploiter ce bogue, un utilisateur de LastPass doit entreprendre une série d’actions, notamment remplir un mot de passe avec l’icône LastPass, puis visiter un site compromis ou malveillant et enfin être amené à cliquer plusieurs fois sur la page. Cet exploit peut avoir pour résultat que les dernières informations d'identification de site renseignées par LastPass soient exposées. Nous avons rapidement travaillé au développement d'un correctif et avons vérifié que la solution était complète avec Tavis ».
Le rapport de bogue du chercheur en sécurité explique les étapes nécessaires à la reproduction du bogue. Étant donné que le bogue repose sur l'exécution de code JavaScript malveillant uniquement, sans autre interaction de l'utilisateur, le bogue est considéré comme dangereux et potentiellement exploitable.
Les pirates pourraient attirer les utilisateurs sur des pages malveillantes et exploiter cette vulnérabilité pour extraire les informations d'identification entrées par les utilisateurs sur les sites précédemment visités. Selon Ormandy, ce n'est pas aussi difficile que ça en a l'air, car un attaquant pourrait facilement dissimuler un lien malveillant derrière une URL Google Translate, inciter les utilisateurs à consulter le lien, puis extraire les informations d'identification d'un site précédemment visité. « Je pense qu'il est juste de placer ce bogue dans la catégorie "sévérité élevée", même si cela ne fonctionnera pas pour toutes les URL », a déclaré Ormandy.
Kun précise quand même que ce bogue ne fonctionnait pas sur tous les navigateurs : « de plus, bien que toute exposition potentielle due au bogue soit limitée à des navigateurs spécifiques (Chrome et Opera), nous avons, par mesure de précaution, déployé la mise à jour sur tous les navigateurs ».
Il en a profité pour donner des conseils de sécurité à la communauté LastPass :
- Méfiez-vous des attaques par hameçonnage : ne cliquez pas sur des liens provenant de personnes que vous ne connaissez pas ou qui semblent hors de propos de vos contacts et entreprises de confiance.
- Activez toujours la MFA pour LastPass et d'autres services tels que votre banque, votre messagerie électronique, Twitter, Facebook, etc. : l'ajout de couches d'authentification supplémentaires reste le moyen le plus efficace de protéger votre compte.
- Ne réutilisez jamais votre mot de passe principal LastPass et ne le divulguez jamais à quiconque, y compris à nous.
- Utilisez des mots de passe différents et uniques pour chaque compte en ligne.
- Protégez votre ordinateur des logiciels malveillants en exécutant un antivirus avec les derniers modèles de détection et en maintenant vos logiciels à jour.
Malgré ce bogue, l'utilisation d'un gestionnaire de mot de passe reste une excellente mesure pour protéger votre sécurité en ligne. L'existence du bogue souligne le fait que les gestionnaires de mots de passe, comme tout service en ligne, peuvent toujours être exposés à des problèmes de sécurité. En facilitant la création et le stockage d'un mot de passe fort unique pour chaque compte, les gestionnaires de mots de passe offrent une alternative cruciale à la réutilisation des mots de passe. Les gestionnaires de mots de passe facilitent également l’utilisation de mots de passe vraiment forts, car les utilisateurs n’ont pas besoin de les mémoriser. Dans le cas où une faille de site Web expose les mots de passe de l'utilisateur sous une forme cryptographiquement protégée, les chances que quelqu'un soit en mesure de déchiffrer le hachage sont minces, étant donné que le mot de passe en texte clair est fort. Même dans le cas où la violation de site Web fait fuiter des mots de passe en texte clair, le gestionnaire de mot de passe permet de s'assurer qu'un seul compte est compromis (dans le cas où les mots de passe de l'utilisateur sont propres à chaque site où il dispose d'un compte).
L'inconvénient des gestionnaires de mots de passe est que s'ils échouent, les résultats peuvent être graves. Il n'est pas rare que certaines personnes utilisent des gestionnaires de mots de passe pour stocker de nombreux mots de passe, certains pour des comptes bancaires, d'autres pour des comptes de messagerie, etc. En cas de piratage du gestionnaire de mots de passe, les informations d'identification de plusieurs comptes risquent d'être exposées.
Par conséquent, il est judicieux d’ajouter une authentification à deux facteurs à tous les sites qui les prennent en charge, ainsi que d’utiliser des mots de passe forts uniques que vous ne réutiliserez jamais entre services.
Source : LastPass, Project Zero
Et vous ?
Utilisez-vous un gestionnaire de mots de passe ?
Si oui, lequel ? Qu'est-ce qui vous a orienté dans votre choix ? En êtes-vous satisfait ?
Avez-vous déjà effectué une mise à jour de votre mot de passe principal ? À quelle fréquence le faites-vous ?
Avez-vous utilisé la MFA ?
Si vous n'utilisez pas de gestionnaire de mots de passe, pouvez-vous expliquer pourquoi ?
Quelles sont les mesures que vous prenez d'ordinaire pour sécuriser au mieux vos comptes ?
Voir aussi :
Les attaques de malware visant des MdP sont à la hausse selon les statistiques de Kaspersky, près d'un million d'utilisateurs concernés au 1S19
Firefox 70 vous avertira quand vos identifiants et mots de passe enregistrés sont compromis suite à une violation de données répertoriée
Une porte dérobée découverte dans la bibliothèque Ruby strong_password utilisée par les applications web RoR pour tester la force des mots de passe
Microsoft se lance officiellement dans la lutte contre les changements obligatoires de mots de passe, une pratique que l'entreprise estime obsolète
Le gestionnaire de mots de passe Bitwarden est disponible en version bêta pour les ordinateurs de bureau, pourra-t-il faire de l'ombre à LastPass ?