🔴 Soldes d'été : jusqu'à - 50% sur le high-tech 🔴 Soldes d'été : jusqu'à - 50% sur le high-tech

LastPass dans la tourmente après un bug qui pourrait avoir fait fuiter des mots de passe

18 septembre 2019 à 09h41
10
LastPass

Cette vulnérabilité, découverte par les équipes de Google, était utilisée par de faux sites web pour siphonner les mots de passe des utilisateurs.

LastPass a déjà corrigé le problème par une mise à jour automatique.

Une faille liée à l'extension pour les navigateurs Opera et Chrome

La faille a été découverte par Tavis Ormandy, chercheur chez Google dans l'équipe Project Zero. Ce bug dans le célèbre gestionnaire permettait de récupérer les mots de passe enregistrés dans la session d'un utilisateur à l'aide d'un site web conçu pour l'occasion. Seuls les navigateurs Google Chrome et Opéra sont concernés par le problème.

Les hackers incitaient les personnes à visiter une page web dont l'adresse était envoyée par mail. Pour tromper LastPass, l'URL pouvait avoir été modifiée dans Google Translate afin d'être maquillée et insoupçonnable.

LastPass pouvait alors ouvrir une fenêtre pop-up et afficher automatiquement le dernier mot de passe utilisé par le gestionnaire. Le faux site exploitait ainsi la vulnérabilité pour récupérer le code d'accès.

LastPass estime que les conséquences devraient être très limitées

Google a contacté suffisamment tôt les équipes de LastPass pour limiter les dégâts. L'entreprise à corrigé son logiciel en comblant la faille de sécurité et propose depuis quelques jours une mise à jour qui s'installe automatiquement lors du lancement du gestionnaire de mots de passe.

Les équipes de LastPass sont d'ailleurs plutôt optimistes quant au nombre de personnes ayant subi un vol de mots de passe comme l'explique Ferenc Kun, responsable de l'ingénierie de sécurité sur le blog de l'entreprise : « Pour exploiter ce bug, une série d'actions devrait être entreprise par un utilisateur LastPass, y compris remplir un mot de passe avec l'icône LastPass, puis visiter un site compromis ou malveillant et enfin être amené à cliquer sur la page plusieurs fois ».

Pour éviter tout problème de sécurité, nous vous invitons tout de même à vérifier que votre version de LastPass soit bien la dernière en date, numérotée 4.33.0.

Source : TechRadar
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
10
9
megadub
J’ai peur que ce soit tout à fait probable d’avoir le même souci quelque soit l’éditeur en passant par ces extensions.<br /> Après, il faut relativiser, changer tous les mots de passe est rendu nettement plus simple grâce à ces applications si on connait la fuite.
megadub
C’est quand même moins dangereux que d’avoir un mot de passe pour tous les sites ou un mauvais fichier texte sur son PC. C’est super bien sécurisé quand même et au moins tu peux mettre des mots de passe random super compliqué pour chaque site.<br /> Après, il vaut mieux un truc offline mais c’est nettement moins pratique.
sebzuki
Utilisez Firefox :=)
juju251
megadub:<br /> C’est quand même moins dangereux que d’avoir un mot de passe pour tous les sites ou un mauvais fichier texte sur son PC. C’est super bien sécurisé quand même et au moins tu peux mettre des mots de passe random super compliqué pour chaque site.<br /> Après, il vaut mieux un truc offline mais c’est nettement moins pratique.<br /> C’est certes moins pratique avec un outil offline (il faut gérer manuellement la synchro et quand tu as plusieurs périphériques, ça peut vite être casse tête c’est vrai), mais par contre, il n’y a pas ce risques de fuites. <br /> Perso, j’ai fait le choix de Keepass et je ne pense pas migrer vers un outil online à court ou moyen terme.
ROYA2
C’est l’une des façons les plus sûres de stocker ses mots de passe.
megadub
Keypass je le réserve pour le boulot
Mambot
Il faut utiliser Hashi Vault !
TheFlyingCorsair
@Mambot: N’importe quoi! Hashi Vault est une solution cloud tout comme LastPass, et par conséquent sujette aux mêmes types de problèmes. La seule solution sûre est une solution off-line, donc des outils comme KeePass.
Thelt
Le mieux : Keepass synchronisé grâce à Dropbox (ou Nextcloud pour ceux qui ont la chance d’avoir un serveur perso)<br /> Vos fichiers sont peut-être stockés dans le cloud pour DropBox, mais au moins vous êtes sûr que seul vous y avez accès grâce au mot de passe + fichier clé
megadub
Pareil avec les solutions cloud
Voir tous les messages sur le forum

Actualités du moment

Presque 10 ans après la Leaf, Nissan va bientôt dévoiler son nouveau concept 100% électrique
🔥 Xiaomi Redmi Note 7 disponible à mois de 150€ !
Mate 30 Pro : tout ce que l’on sait du flagship qui risque de tout changer pour Huawei
Facebook : le conseil de surveillance
Nouveau cycle de mises à jour pour Firefox, qui sortira une nouvelle version toutes les 4 semaines
Apple retire discrètement le serveur web Zoom caché via une mise à jour sur Mac
Comment régler les couleurs de son écran PC ?
4 techniques simples pour nettoyer son PC
Alimentation de 850 W pour le multi-GPU chez Corsair
USB Type-C : tout savoir sur la nouvelle norme USB
Haut de page