Rechercher sur le site

Topic-icon LastPass dans la tourmente après un bug

  • Modérateur du Forum
  • Modérateur du Forum's Avatar Topic Author
  • Offline
  • Posts: 82

LastPass dans la tourmente après un bug was created by Modérateur du Forum

LastPass dans la tourmente après un bug qui pourrait avoir fait fuiter des mots de passe

Cette vulnérabilité, découverte par les équipes de Google, était utilisée par de faux sites web pour siphonner les mots de passe des
utilisateurs.

LastPass a déjà corrigé le problème par une mise à jour automatique.


Une faille liée à l'extension pour les navigateurs Opera et Chrome La faille a été découverte par Tavis Ormandy, chercheur chez Google
dans l'équipe Project Zero. Ce bug dans le célèbre gestionnaire permettait de récupérer les mots de passe enregistrés dans la session d'un utilisateur à l'aide d'un site web conçu pour l'occasion. Seuls les navigateurs Google Chrome et Opéra sont concernés par le problème.
Les hackers incitaient les personnes à visiter une page web dont l'adresse était envoyée par mail. Pour tromper LastPass, l'URL pouvait avoir été modifiée dans Google Translate afin d'être maquillée et insoupçonnable.

LastPass pouvait alors ouvrir une fenêtre pop-up et afficher automatiquement le dernier mot de passe utilisé par le
gestionnaire. Le faux site exploitait ainsi la vulnérabilité pour récupérer le code d'accès.

LastPass estime que les conséquences devraient être très limitées
Google a contacté suffisamment tôt les équipes de LastPass pour limiter les dégâts. L'entreprise à corrigé son logiciel en comblant la faille de sécurité et propose depuis quelques jours une mise à jour qui s'installe automatiquement lors du lancement du gestionnaire de mots de passe.

Les équipes de LastPass sont d'ailleurs plutôt optimistes quant au nombre de personnes ayant subi un vol de mots de passe comme l'explique Ferenc Kun, responsable de l'ingénierie de sécurité sur le blog de l'entreprise  : « Pour exploiter ce bug, une série d'actions devrait être entreprise par un utilisateur LastPass, y compris remplir un mot de passe avec l'icône LastPass, puis visiter un site compromis ou malveillant et enfin être amené à cliquer sur la page plusieurs fois ».

Pour éviter tout problème de sécurité, nous vous invitons tout de même à vérifier
que votre version de LastPass soit bien la dernière en date, numérotée 4.33.0.


Mathieu Grumiaux
Clubic
Source : TechRadar
23 Sep 2019 11:05 #1
  • Allowed: to create new topic.
  • Allowed: to reply.
  • Allowed: to add Images.
  • Not Allowed: to add Files.
  • Not Allowed: to edit your message.
Moderators: Modérateur du Forum