LastPass fait les frais d'une énorme faille de sécurité dans son système

Lors de la ShmooCon, une convention sur la sécurité qui s'est tenue du 15 au 17 janvier, un expert est parvenu à mettre à mal le gestionnaire de mots de passe LastPass. Selon lui, l'outil peut être victime d'une énorme faille de Phishing. En jeu : le mot de passe principal de chaque utilisateur, lequel permet ensuite à tous les autres césames.

Rappelons tout d'abord que LastPass est un outil permettant de stocker dans un coffre-fort virtuel tous les mots de passe que vous entrez sur le Web. Il permet donc, à l'aide d'un mot de passe unique, de se connecter à l'ensemble des services que vous utilisez quotidiennement sur la Toile, qu'il s'agisse de votre banque, d'un forum, d'un site d'achat en ligne, etc. Intitulée LostPass, la faille en question repose sur un scénario assez simple, finalement. La démonstration de Sean Cassidy repose avant tout sur l'utilisation de Chrome, mais peut également concerner Firefox sur Mac OS X ou Windows 8 (à titre expérimental). L'auteur de cette découverte a développé un petit fichier JavaScript, losptpass.js, qu'il a pris soin de déposer sur un site lambda. Lorsqu'un visiteur consulte la page en question, un message s'affiche, lui indiquant qu'il a été déconnecté de LastPass et qu'il doit à nouveau entrer son email et son mot de passe maître. Au passage, Sean Cassidy a acquis le nom de domaine chrome-extension.pw, suffisamment proche de la page officielle des extensions Chrome pour tromper toute vigilance. Le leurre se charge ensuite de vérifier la validité du mot de passe. Il affiche dans la foulée une seconde fenêtre d'identification (authentification à deux facteurs), afin de récupérer le code de Google Authentificator de l'utilisateur.

Au final, l'attaquant peut récupérer assez facilement les informations d'identification de n'importe quel utilisateur visitant un site infecté par lostpass.js. Pour démontrer ses propos, Sean Cassidy a publié son code source sur Github. Informée de cette découverte en novembre dernier, la société LastPass a tout d'abord tenté de résoudre cette attaque en affichant un bandeau dans le navigateur lorsqu'une activité suspecte est détectée. Jugée insuffisante par Sean Cassidy, cette mesure a été finalement suivie d'une autre : LastPass a ainsi réagi en obligeant les utilisateurs à répondre par email dès lors qu'ils établissent une nouvelle connexion sur un appareil (qu'ils utilisent une authentification à double facteur ou non). De quoi résoudre totalement le problème ? Pas sûr, car d'après l'auteur de LostPass, cette mesure ne serait pas encore assez suffisante, même s'il ne donne pas davantage de détails.

>> A lire aussi : Facebook, Google, LinkedIn... Optez pour la double validation

Posez une question dans la catégorie News du forum
Cette page n'accepte plus de commentaires
Soyez le premier à commenter
    Votre commentaire