Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Le gestionnaire de mots de passe LastPass corrige un bogue qui expose les informations d'identification
Entrées sur un site précédemment visité

Le , par Stéphane le calme

41PARTAGES

13  0 
Le gestionnaire de mots de passe, LastPass, a publié une mise à jour la semaine dernière pour corriger un bogue de sécurité qui expose les informations d'identification entrées sur un site précédemment visité. Le bogue a été découvert le mois dernier par Tavis Ormandy, chercheur en sécurité chez Project Zero, l'équipe de sécurité et de recherche de bogues de Google.

LastPass, qui est considéré aujourd'hui comme l'application de gestion de mots de passe la plus populaire, a résolu le problème signalé dans la version 4.33.0 du 12 septembre. Bien que LastPass indique que la mise à jour doit être appliquée automatiquement, vous devez absolument vérifier que vous utilisez la version la plus récente de l'extension de navigateur du service, en particulier si vous utilisez un navigateur qui vous permet de désactiver les mises à jour automatiques des extensions. Le bogue a été corrigé avec la version 4.33.0 de l'extension. Si les utilisateurs n'ont pas activé de mécanisme de mise à jour automatique pour leurs extensions de navigateur LastPass, il leur est conseillé d'effectuer une mise à jour manuelle le plus rapidement possible.

Dans un billet de blog, Ferenc Kun de l'équipe de sécurité de LastPass a déclaré :

« Notre équipe a récemment étudié et résolu un bogue affectant certaines extensions LastPass. Tavis Ormandy, chercheur en sécurité dans le cadre du projet zéro de Google, nous a révélé le problème de manière responsable. Son rapport révélait un ensemble limité de circonstances sur des extensions de navigateur spécifiques pouvant permettre à un attaquant de créer un scénario de détournement de clic.

« Pour exploiter ce bogue, un utilisateur de LastPass doit entreprendre une série d’actions, notamment remplir un mot de passe avec l’icône LastPass, puis visiter un site compromis ou malveillant et enfin être amené à cliquer plusieurs fois sur la page. Cet exploit peut avoir pour résultat que les dernières informations d'identification de site renseignées par LastPass soient exposées. Nous avons rapidement travaillé au développement d'un correctif et avons vérifié que la solution était complète avec Tavis ».


Le rapport de bogue du chercheur en sécurité explique les étapes nécessaires à la reproduction du bogue. Étant donné que le bogue repose sur l'exécution de code JavaScript malveillant uniquement, sans autre interaction de l'utilisateur, le bogue est considéré comme dangereux et potentiellement exploitable.

Les pirates pourraient attirer les utilisateurs sur des pages malveillantes et exploiter cette vulnérabilité pour extraire les informations d'identification entrées par les utilisateurs sur les sites précédemment visités. Selon Ormandy, ce n'est pas aussi difficile que ça en a l'air, car un attaquant pourrait facilement dissimuler un lien malveillant derrière une URL Google Translate, inciter les utilisateurs à consulter le lien, puis extraire les informations d'identification d'un site précédemment visité. « Je pense qu'il est juste de placer ce bogue dans la catégorie "sévérité élevée", même si cela ne fonctionnera pas pour toutes les URL », a déclaré Ormandy.

Kun précise quand même que ce bogue ne fonctionnait pas sur tous les navigateurs : « de plus, bien que toute exposition potentielle due au bogue soit limitée à des navigateurs spécifiques (Chrome et Opera), nous avons, par mesure de précaution, déployé la mise à jour sur tous les navigateurs ».

Il en a profité pour donner des conseils de sécurité à la communauté LastPass :
  • Méfiez-vous des attaques par hameçonnage : ne cliquez pas sur des liens provenant de personnes que vous ne connaissez pas ou qui semblent hors de propos de vos contacts et entreprises de confiance.
  • Activez toujours la MFA pour LastPass et d'autres services tels que votre banque, votre messagerie électronique, Twitter, Facebook, etc. : l'ajout de couches d'authentification supplémentaires reste le moyen le plus efficace de protéger votre compte.
  • Ne réutilisez jamais votre mot de passe principal LastPass et ne le divulguez jamais à quiconque, y compris à nous.
  • Utilisez des mots de passe différents et uniques pour chaque compte en ligne.
  • Protégez votre ordinateur des logiciels malveillants en exécutant un antivirus avec les derniers modèles de détection et en maintenant vos logiciels à jour.

Malgré ce bogue, l'utilisation d'un gestionnaire de mot de passe reste une excellente mesure pour protéger votre sécurité en ligne. L'existence du bogue souligne le fait que les gestionnaires de mots de passe, comme tout service en ligne, peuvent toujours être exposés à des problèmes de sécurité. En facilitant la création et le stockage d'un mot de passe fort unique pour chaque compte, les gestionnaires de mots de passe offrent une alternative cruciale à la réutilisation des mots de passe. Les gestionnaires de mots de passe facilitent également l’utilisation de mots de passe vraiment forts, car les utilisateurs n’ont pas besoin de les mémoriser. Dans le cas où une faille de site Web expose les mots de passe de l'utilisateur sous une forme cryptographiquement protégée, les chances que quelqu'un soit en mesure de déchiffrer le hachage sont minces, étant donné que le mot de passe en texte clair est fort. Même dans le cas où la violation de site Web fait fuiter des mots de passe en texte clair, le gestionnaire de mot de passe permet de s'assurer qu'un seul compte est compromis (dans le cas où les mots de passe de l'utilisateur sont propres à chaque site où il dispose d'un compte).

L'inconvénient des gestionnaires de mots de passe est que s'ils échouent, les résultats peuvent être graves. Il n'est pas rare que certaines personnes utilisent des gestionnaires de mots de passe pour stocker de nombreux mots de passe, certains pour des comptes bancaires, d'autres pour des comptes de messagerie, etc. En cas de piratage du gestionnaire de mots de passe, les informations d'identification de plusieurs comptes risquent d'être exposées.

Par conséquent, il est judicieux d’ajouter une authentification à deux facteurs à tous les sites qui les prennent en charge, ainsi que d’utiliser des mots de passe forts uniques que vous ne réutiliserez jamais entre services.

Source : LastPass, Project Zero

Et vous ?

Utilisez-vous un gestionnaire de mots de passe ?
Si oui, lequel ? Qu'est-ce qui vous a orienté dans votre choix ? En êtes-vous satisfait ?
Avez-vous déjà effectué une mise à jour de votre mot de passe principal ? À quelle fréquence le faites-vous ?
Avez-vous utilisé la MFA ?
Si vous n'utilisez pas de gestionnaire de mots de passe, pouvez-vous expliquer pourquoi ?
Quelles sont les mesures que vous prenez d'ordinaire pour sécuriser au mieux vos comptes ?

Voir aussi :

Les attaques de malware visant des MdP sont à la hausse selon les statistiques de Kaspersky, près d'un million d'utilisateurs concernés au 1S19
Firefox 70 vous avertira quand vos identifiants et mots de passe enregistrés sont compromis suite à une violation de données répertoriée
Une porte dérobée découverte dans la bibliothèque Ruby strong_password utilisée par les applications web RoR pour tester la force des mots de passe
Microsoft se lance officiellement dans la lutte contre les changements obligatoires de mots de passe, une pratique que l'entreprise estime obsolète
Le gestionnaire de mots de passe Bitwarden est disponible en version bêta pour les ordinateurs de bureau, pourra-t-il faire de l'ombre à LastPass ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de tanaka59
Membre chevronné https://www.developpez.com
Le 17/09/2019 à 14:14
Bonjour,

Tiens quel coincidence justement j'ai fais une tribune au sujet des mots de passes : https://tanaka.developpez.com/gestio...mots-de-passe/

Utilisez-vous un gestionnaire de mots de passe ?
Absolument pas et ici on a le parfait exemeple que le gestionnaire de mot de passe n'est clairement pas la solution ! Déjà en 2015 la même société se faisait siphonner sa BDD user ...

Avez-vous utilisé la MFA ?
J'utilise toujours une double voir triple identification pour l'authentification sur des services critiques. Si l'un des canaux est dans les choux je peux toujours switcher sur un autre . Recevoir un appel sur le téléphone fixe par exemple au lieu de recevoir un sms ...

Si vous n'utilisez pas de gestionnaire de mots de passe, pouvez-vous expliquer pourquoi ?
Comme expliqué plus haut , si le master password / token général se fait voler via un piratage de BDD chez le presta on est pas dans la m**** pour devoir TOUT changer.

Inversement si le master password est exclusivement sur le pc , en cas pépin (rançongiciel, keylogger, casse, perte,vol ... ) bah plus de gestionnaire de mots de passe au risque de perdre le nom d'un site ou on est inscrit ...

Quelles sont les mesures que vous prenez d'ordinaire pour sécuriser au mieux vos comptes ?
* ne pas utiliser son vrai mail , préférer à mettre un alias
* un mot de passe par web service
* privilégier la passphrase en langue étrangère
* jouer avec les caractères
* s'assurer d'avoir plusieurs canaux secours pour se connecter à des sites spécifiques (pouvoir recevoir appel ET SMS) en cas de panne ou d'un canal
* conserver des preuves d'achats ou d'inscriptions liés à un compte pour pouvoir récupérer l'accès en cas de besoin (code de sécurité ou validation reçu par la poste par exemple ... )
4  0 
Avatar de Steinvikel
Membre expérimenté https://www.developpez.com
Le 17/09/2019 à 18:27
Citation Envoyé par tanaka59 Voir le message
Absolument pas et ici on a le parfait exemple que le gestionnaire de mot de passe n'est clairement pas la solution !
Le problème est ici double:
1) Le choix de centraliser ses mots de passe est un problème, mais c'est une concession pour en régler plusieurs autres. Pour ce que j'en pense, ce n'est pas un mauvais choix (suivant le contexte).
2) Le gestionnaire n'est pas local, mais est un service distant. Ce qui selon moi est généralement un mauvais choix (dépend également du contexte)
3) C'est une solution propriétaire dans laquelle on y met ses données les plus critiques, et qui n'est pas open source... étonnamment les concurrents "libres" tel que KeePass, sont bien moins sujets à ces faiblesses.
NB: se prémunir contre le vol de mots de passe est compliqué, se prémunir de leur perte /oubli est facile --> on duplique les données, les emplacements physiques, etc.

Citation Envoyé par tanaka59 Voir le message
si le master password / token général se fait voler via un piratage de BDD chez le presta on est pas dans la m**** pour devoir TOUT changer.
Inversement si le master password est exclusivement sur le pc , en cas pépin (rançongiciel, keylogger, casse, perte,vol ... ) bah plus de gestionnaire de mots de passe au risque de perdre le nom d'un site ou on est inscrit ...
si la base de données est volé /copié, oui il est plus prudent de changer tout ce qu'elle contient... si elle se fait détourner /chiffrer /supprimer, le seul moyen de s'en prémunir et d'en avoir une copie (pas sur le même disque, ni sur la même machine), sur un DD externe par exemple. --> ce qui est critique /vital devrait être systématiquement dupliqué.
1  0 
Avatar de Eric30
Membre habitué https://www.developpez.com
Le 17/09/2019 à 17:05
Absolument pas et ici on a le parfait exemeple que le gestionnaire de mot de passe n'est clairement pas la solution ! Déjà en 2015 la même société se faisait siphonner sa BDD user ...
Se faire siphoner sa BDD ne veut pas dire que vos mots de passe sont dans la nature. Si je me souviens bien, sur LastPass, ils sont cryptés avec une clef + le hash de votre mot de passe principal.
Après c'est sûr que ca marque mal en terme d'image.

Comme expliqué plus haut , si le master password / token général se fait voler via un piratage de BDD chez le presta on est pas dans la m**** pour devoir TOUT changer.
Pas forcément. Un mot de passe bien construit et hashé correctement est inutilisable en soit.

Par ailleurs, bravo pour ton article sur les mots de passe, très intéressant et bien construit
0  0 
Avatar de user056478426
Candidat au Club https://www.developpez.com
Le 17/09/2019 à 21:39

Quelles sont les mesures que vous prenez d'ordinaire pour sécuriser au mieux vos comptes ?
Un fichier Keepass que je stocke sur un Nextcloud privé et autohébergé, dont le mot de passe est dans ma tête et différent de la passphrase du fichier Keepass. Avec KeeWeb je peux y accèder directement depuis le navigateur.

Le seul réel risque je pense que c'est le keylogger, mais sous Ubuntu les risques sont faibles, comparé à Windows. Concernant la 2FA, je n'utilise que de l'OTP avec des codes de secours sous la main. Je ne fais pas confiance aux opérateurs, mais c'est surtout parce que je ne veux pas retrouver un compte bloqué bêtement après avoir changé de numéro.

Rien n'est sans faille, mais tout dépend de son threat model.
0  0 
Avatar de Helfima
Membre actif https://www.developpez.com
Le 19/09/2019 à 12:00
Pendant un certain temps je mettais tout dans lastpass, puis à force de voir des sites même de géant se faire violer, j'ai fini par me dire qu'un jour ca sera son tour
du coup je suis passé sur keepass et je balade mon fichier sur USB plutot que via du web
0  0