La vie d’un gestionnaire de mots de passe n’est pas un long fleuve tranquille. LastPass en sait quelque chose : périodiquement, le logiciel de l’entreprise américaine LogMeIn fait les gros titres pour des incidents de sécurité qui remettent en cause la protection des codes secrets stockés dans le coffre-fort numérique. L’histoire s’est répétée à la mi-septembre, avec une nouvelle alerte — résolue depuis.
C’est à Tavis Ormandy que l’on doit la découverte de cette faille, qui s’était nichée dans l’extension que LastPass propose pour interfacer son programme avec le navigateur web de l’internaute. En utilisant une page web spécialement trafiquée pour l’occasion, il était possible d’afficher — et donc de collecter — le dernier mot de passe utilisé. Un tiers malveillant pouvait alors s’en servir à des fins malveillantes.
LastPass propose de mémoriser les mots de passe à votre place. // Source : LastPass
Ce n’est pas la première fois que Tavis Ormandy se penche sur la conception de LastPass. L’intéressé avait déjà repéré des défauts dans l’application en 2016 et 2017. À chaque fois, un échange discret avait eu lieu entre l’expert informatique et l’entreprise pour échanger sur les détails de la vulnérabilité. LastPass corrigeait alors son produit et ce n’est qu’à ce moment-là que Tavis Ormandy partageait ses constatations.
Tavis Ormandy est membre du Projet Zéro. Il s’agit d’une équipe installée par Google pour dénicher des vulnérabilités critiques dans les logiciels, notamment les failles 0-day (c’est-à-dire les brèches qui ne sont pas documentées ou dont le correctif n’est pas connu), et qui s’efforce de suivre les principes de la divulgation responsable. Il s’agit, en résumé, de ménager du temps à l’entreprise pour corriger son logiciel avant d’en dévoiler les détails.
Correctifs disponibles
Le compte-rendu de Tavis Ormandy « a révélé un ensemble limité de circonstances sur des extensions spécifiques pour navigateur qui pourraient potentiellement permettre à un attaquant de créer un scénario de détournement de clic », admet LastPass. Toutefois, le risque était très spécifique et il n’est pas certain qu’il ait affecté grand monde, à supposer que des personnes aient souffert de ce bug.
LastPass observe ainsi dans un bilan publié le 13 septembre, une fois les mises à jour développées et déployées, « qu’une série d’actions devrait être prise par un utilisateur » , « y compris remplir un mot de passe avec l’icône LastPass, puis visiter un site compromis ou malveillant et finalement être amené à cliquer plusieurs fois sur la page ». Deux navigateurs étaient concernés : Opera et Google Chrome.
Si ce n’est pas déjà fait, mettez à jour LastPass (en version v4.33.0 / v4.33.4 en fonction des cas de figure). La mouture la plus récente a été déployée le 12 septembre et concerne Chrome, Firefox, Safari, Edge, Internet Explorer et Opera — des bugs mineurs ont aussi été corrigés par la même occasion. En principe, la mise à jour s’est installée automatiquement, mais une vérification manuelle peut être judicieuse.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !
