Le gestionnaire de mots de passe en ligne LastPass a été alerté par des chercheurs en sécurité d’une vulnérabilité critique et a du corriger en urgence ses extensions pour les navigateurs Web Firefox et Chrome.
Dans le milieu des coffre-fort numérique à mots de passe, LastPass est largement reconnu. Mais voila, tout est faillible et mieux vaut toujours conserver ses précieux mots de passe en local dans un gestionnaire de type KeePass plutôt que sur un service en ligne !
La preuve en est qu’un chercheur en sécurité de Google (au sein du fameux Project Zero), Tavis Ormandy, a trouvé un moyen de détourner le logiciel à distance en exploitant un add-on pour Firefox et celui pour Chrome. Un correctif a heureusement été rapidement proposé et diffusé en ligne.
Pour que le piratage fonctionne, il faut d’abord diriger l’utilisateur vers un site malveillant qui se charge d’exploiter la faille dans un add-on LastPass pour le navigateur Firefox, et permet au pirate de prendre le contrôle du logiciel de gestion de mots de passe. Hier, LastPass a déclaré qu’un correctif était déjà disponible pour les utilisateurs de Firefox.
C’est le chercheur en sécurité de Google, Tavis Ormandy, qui a découvert le problème après avoir analysé le gestionnaire de mots de passe. Ce dernier a tweeté :
« Les gens utilisent vraiment ce LastPass ? J’ai regardé le gestionnaire de près et j’ai pu trouver un tas de problèmes critiques évidents. Je vais envoyer un rapport à l’éditeur dès que possible ».
Chaque vulnérabilité dans LastPass présente en effet un grand risque pour l’utilisateur étant donné que le logiciel est populaire et qu’il est justement censé stocker de manière sécurisée tous les mots de passe définis par les utilisateurs pour accéder à différents sites et remplir automatiquement les champs d’identification au moment voulu.
Par ailleurs, Tavis Ormandy n’est pas le seul chercheur en sécurité à s’être intéressé au gestionnaire de mots de passe LastPass puisque c’est le chercheur Mathias Karlsson de Detectify Labs qui a réussi à pirater LastPass peu après via une faille dans l’extension dédiée au navigateur Web Chrome (article de blog sur le sujet ici).
C’est corrigé mais étant donné qu’il faut que l’attaquant parvienne en amont à diriger l’utilisateur cible vers un site malveillant, la société éditrice de LastPass conseille tout de même aux utilisateurs de se méfier des campagnes de phishing et des liens malveillants qui redirigent vers des sites douteux.
L’extension pour Firefox passe ainsi en version 4.1.21a. Si vous ne voulez pas attendre que la mise à jour soit proposée par Firefox, vous pouvez directement la récupérer par ici.