LastPass dans la tourmente après un bug qui pourrait avoir fait fuiter des mots de passe

Mathieu Grumiaux
Par Mathieu Grumiaux, Expert maison connectée.
Publié le 18 septembre 2019 à 09h41
LastPass

Cette vulnérabilité, découverte par les équipes de Google, était utilisée par de faux sites web pour siphonner les mots de passe des utilisateurs.

LastPass a déjà corrigé le problème par une mise à jour automatique.

Une faille liée à l'extension pour les navigateurs Opera et Chrome

La faille a été découverte par Tavis Ormandy, chercheur chez Google dans l'équipe Project Zero. Ce bug dans le célèbre gestionnaire permettait de récupérer les mots de passe enregistrés dans la session d'un utilisateur à l'aide d'un site web conçu pour l'occasion. Seuls les navigateurs Google Chrome et Opéra sont concernés par le problème.

Les hackers incitaient les personnes à visiter une page web dont l'adresse était envoyée par mail. Pour tromper LastPass, l'URL pouvait avoir été modifiée dans Google Translate afin d'être maquillée et insoupçonnable.

LastPass pouvait alors ouvrir une fenêtre pop-up et afficher automatiquement le dernier mot de passe utilisé par le gestionnaire. Le faux site exploitait ainsi la vulnérabilité pour récupérer le code d'accès.

LastPass estime que les conséquences devraient être très limitées

Google a contacté suffisamment tôt les équipes de LastPass pour limiter les dégâts. L'entreprise à corrigé son logiciel en comblant la faille de sécurité et propose depuis quelques jours une mise à jour qui s'installe automatiquement lors du lancement du gestionnaire de mots de passe.

Les équipes de LastPass sont d'ailleurs plutôt optimistes quant au nombre de personnes ayant subi un vol de mots de passe comme l'explique Ferenc Kun, responsable de l'ingénierie de sécurité sur le blog de l'entreprise : « Pour exploiter ce bug, une série d'actions devrait être entreprise par un utilisateur LastPass, y compris remplir un mot de passe avec l'icône LastPass, puis visiter un site compromis ou malveillant et enfin être amené à cliquer sur la page plusieurs fois ».

Pour éviter tout problème de sécurité, nous vous invitons tout de même à vérifier que votre version de LastPass soit bien la dernière en date, numérotée 4.33.0.

Source : TechRadar
Mathieu Grumiaux
Expert maison connectée
XLinkedIn
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (10)
megadub

J’ai peur que ce soit tout à fait probable d’avoir le même souci quelque soit l’éditeur en passant par ces extensions.

Après, il faut relativiser, changer tous les mots de passe est rendu nettement plus simple grâce à ces applications si on connait la fuite.

megadub

C’est quand même moins dangereux que d’avoir un mot de passe pour tous les sites ou un mauvais fichier texte sur son PC. C’est super bien sécurisé quand même et au moins tu peux mettre des mots de passe random super compliqué pour chaque site.

Après, il vaut mieux un truc offline mais c’est nettement moins pratique.

sebzuki

Utilisez Firefox :=)

juju251

C’est certes moins pratique avec un outil offline (il faut gérer manuellement la synchro et quand tu as plusieurs périphériques, ça peut vite être casse tête c’est vrai), mais par contre, il n’y a pas ce risques de fuites. :sweat_smile:

Perso, j’ai fait le choix de Keepass et je ne pense pas migrer vers un outil online à court ou moyen terme. :wink:

ROYA2

C’est l’une des façons les plus sûres de stocker ses mots de passe.

megadub

Keypass je le réserve pour le boulot :wink:

Mambot

Il faut utiliser Hashi Vault !

TheFlyingCorsair

@Mambot: N’importe quoi! Hashi Vault est une solution cloud tout comme LastPass, et par conséquent sujette aux mêmes types de problèmes. La seule solution sûre est une solution off-line, donc des outils comme KeePass.

Thelt

Le mieux : Keepass synchronisé grâce à Dropbox (ou Nextcloud pour ceux qui ont la chance d’avoir un serveur perso)

Vos fichiers sont peut-être stockés dans le cloud pour DropBox, mais au moins vous êtes sûr que seul vous y avez accès grâce au mot de passe + fichier clé

megadub

Pareil avec les solutions cloud

Dernières actualités
10 ans plus tard, vous pouvez enfin utiliser iCloud avec Firefox
10 ans plus tard, vous pouvez enfin utiliser iCloud avec Firefox
Offre exclusive Clubic pour le Cyber Monday : obtenez 15% de réduction supplémentaire pour NordPass
Proton offre une remise de 50 % sur son gestionnaire de mots de passe pour le Black Friday
Voici les nouveautés à venir dans Proton Mail, Calendar, Drive et Pass
Les gestionnaires de mots de passe des navigateurs : pratiques, mais pas fiables
Pourquoi la double authentification n'est pas aussi sûre que vous le pensez
On ne compte plus les scams qui pullulent sur Facebook, le dernier cible Bitwarden
Plus pratique, plus jolie, voici la nouvelle version de Google Authenticator
Facebook
X
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles