LastPass dans la tourmente après un bug qui pourrait avoir fait fuiter des mots de passe

Mathieu Grumiaux
18 septembre 2019 à 09h41
10
LastPass

Cette vulnérabilité, découverte par les équipes de Google, était utilisée par de faux sites web pour siphonner les mots de passe des utilisateurs.

LastPass a déjà corrigé le problème par une mise à jour automatique.

Une faille liée à l'extension pour les navigateurs Opera et Chrome

La faille a été découverte par Tavis Ormandy, chercheur chez Google dans l'équipe Project Zero. Ce bug dans le célèbre gestionnaire permettait de récupérer les mots de passe enregistrés dans la session d'un utilisateur à l'aide d'un site web conçu pour l'occasion. Seuls les navigateurs Google Chrome et Opéra sont concernés par le problème.

Les hackers incitaient les personnes à visiter une page web dont l'adresse était envoyée par mail. Pour tromper LastPass, l'URL pouvait avoir été modifiée dans Google Translate afin d'être maquillée et insoupçonnable.

LastPass pouvait alors ouvrir une fenêtre pop-up et afficher automatiquement le dernier mot de passe utilisé par le gestionnaire. Le faux site exploitait ainsi la vulnérabilité pour récupérer le code d'accès.

LastPass estime que les conséquences devraient être très limitées

Google a contacté suffisamment tôt les équipes de LastPass pour limiter les dégâts. L'entreprise à corrigé son logiciel en comblant la faille de sécurité et propose depuis quelques jours une mise à jour qui s'installe automatiquement lors du lancement du gestionnaire de mots de passe.

Les équipes de LastPass sont d'ailleurs plutôt optimistes quant au nombre de personnes ayant subi un vol de mots de passe comme l'explique Ferenc Kun, responsable de l'ingénierie de sécurité sur le blog de l'entreprise : « Pour exploiter ce bug, une série d'actions devrait être entreprise par un utilisateur LastPass, y compris remplir un mot de passe avec l'icône LastPass, puis visiter un site compromis ou malveillant et enfin être amené à cliquer sur la page plusieurs fois ».

Pour éviter tout problème de sécurité, nous vous invitons tout de même à vérifier que votre version de LastPass soit bien la dernière en date, numérotée 4.33.0.

Source : TechRadar
Mathieu Grumiaux

Mathieu Grumiaux

Grand maître des aspirateurs robots et de la domotique qui vit dans une "maison du futur". J'aime aussi parler films et séries sur les internets. Éternel padawan, curieux de tout ce qui concerne les n...

Lire d'autres articles

Grand maître des aspirateurs robots et de la domotique qui vit dans une "maison du futur". J'aime aussi parler films et séries sur les internets. Éternel padawan, curieux de tout ce qui concerne les nouvelles technologies.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (10)

megadub
J’ai peur que ce soit tout à fait probable d’avoir le même souci quelque soit l’éditeur en passant par ces extensions.<br /> Après, il faut relativiser, changer tous les mots de passe est rendu nettement plus simple grâce à ces applications si on connait la fuite.
megadub
C’est quand même moins dangereux que d’avoir un mot de passe pour tous les sites ou un mauvais fichier texte sur son PC. C’est super bien sécurisé quand même et au moins tu peux mettre des mots de passe random super compliqué pour chaque site.<br /> Après, il vaut mieux un truc offline mais c’est nettement moins pratique.
sebzuki
Utilisez Firefox :=)
juju251
megadub:<br /> C’est quand même moins dangereux que d’avoir un mot de passe pour tous les sites ou un mauvais fichier texte sur son PC. C’est super bien sécurisé quand même et au moins tu peux mettre des mots de passe random super compliqué pour chaque site.<br /> Après, il vaut mieux un truc offline mais c’est nettement moins pratique.<br /> C’est certes moins pratique avec un outil offline (il faut gérer manuellement la synchro et quand tu as plusieurs périphériques, ça peut vite être casse tête c’est vrai), mais par contre, il n’y a pas ce risques de fuites. <br /> Perso, j’ai fait le choix de Keepass et je ne pense pas migrer vers un outil online à court ou moyen terme.
ROYA2
C’est l’une des façons les plus sûres de stocker ses mots de passe.
megadub
Keypass je le réserve pour le boulot
Mambot
Il faut utiliser Hashi Vault !
TheFlyingCorsair
@Mambot: N’importe quoi! Hashi Vault est une solution cloud tout comme LastPass, et par conséquent sujette aux mêmes types de problèmes. La seule solution sûre est une solution off-line, donc des outils comme KeePass.
Thelt
Le mieux : Keepass synchronisé grâce à Dropbox (ou Nextcloud pour ceux qui ont la chance d’avoir un serveur perso)<br /> Vos fichiers sont peut-être stockés dans le cloud pour DropBox, mais au moins vous êtes sûr que seul vous y avez accès grâce au mot de passe + fichier clé
megadub
Pareil avec les solutions cloud
Voir tous les messages sur le forum

Top gestionnaires de mot de passe

NordPass
NordPass Voir l'offre
Dashlane
Dashlane Voir l'offre
1Password
1Password Voir l'offre

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

Des pare-feu Cisco touchés par une faille Zero Day ciblent des sites gouvernementaux à travers le monde Des pare-feu Cisco touchés par une faille Zero Day ciblent des sites gouvernementaux à travers le monde
Une fois de plus, la Police nationale alerte sur les fraudes au paiement d'amende et déplore de Une fois de plus, la Police nationale alerte sur les fraudes au paiement d'amende et déplore de "nombreuses victimes"
Vous n’êtes pas fou, prouver que Vous n’êtes pas fou, prouver que "vous n’êtes pas un robot" devient bien de plus en plus difficile
Albi paralysée depuis 2 jours par une cyberattaque : les services de la ville contraints de revenir au papier et au stylo Albi paralysée depuis 2 jours par une cyberattaque : les services de la ville contraints de revenir au papier et au stylo
iCloud : peut-on vraiment faire confiance à la protection avancée des données ? iCloud : peut-on vraiment faire confiance à la protection avancée des données ?
Sport 2000 victime d'une cyberattaque, un gang de pirates français soupçonné de vendre les données de 4 millions de clients Sport 2000 victime d'une cyberattaque, un gang de pirates français soupçonné de vendre les données de 4 millions de clients