LastPass : D’importants risques de phishing selon un expert

1
94

D’après un expert en sécurité indépendant, le gestionnaire de mots de passe sécurisé en ligne soufrerait d’une énième faille critique rendant les utilisateurs particulièrement vulnérables aux attaques par phishing. Explications.

LastPass est un gestionnaire de mots de passe en ligne particulièrement connu, mais ayant déjà à de nombreuses reprises connus des problèmes de sécurité. Or, l’histoire semble se répéter : Sean Cassidy, un expert en sécurité, vient de démontrer que la sécurité de LastPass est défaillante face aux attaques via phishing.

shmoocon

Une vulnérabilité critique démontrée

Le PoC de cette vulnérabilité intitulé “LostPass” a été présenté à l’occasion de la conférence Shmoocon 2016 qui s’est déroulée au début de la semaine à Washington. L’exploitation se fait au travers d’une faille de type CSRF, ou « Cross-site-request-forgery » allié à du phishing.

Cette vulnérabilité concerne surtout les services d’authentification et elle consiste à transmettre à un utilisateur une fausse requête HTTP pointant vers une action interne propre au site. En se rendant sur la page, l’internaute exécute la commande associée avec ses propres droits sans même s’en rendre compte. 

lastpass_notification

Sean Cassidy a donc développé une page spéciale exploitant cette fameuse faille (code source public disponible sur Github), une page forçant la déconnexion de LastPass. Il a ensuite affiché un bandeau dans le navigateur pour inciter l’internaute à se reconnecter, avec un bouton renvoyant vers une réplique du site de l’éditeur. En utilisant cette technique, il serait donc possible de récupérer les mots de passe maître des comptes des internautes.

LastPass alerté corrige la vulnérabilité

Le chercheur a tout de suite contacté l’éditeur de LastPass afin de l’alerter du problème et ce dernier a mis en place un nouveau dispositif capable d’alerter l’utilisateur s’il saisit son mot de passe sur une page web ne lui appartenant pas.

lastpass_auth

De plus, la procédure de vérification par mail est maintenant appliquée à l’ensemble des comptes utilisateurs, dès lors qu’un internaute se connecte depuis une adresse IP encore inconnue.

Cette mesure « réduit considérablement la menace de ce genre d’attaques » déclarait LastPass dans un billet de blog en réponse à l’expert. Raison de plus de rappeler qu’il est toujours bon de vérifier la légitimité du site sur lequel l’on saisi ses identifiants !

Les commentaires sont fermés.