LastPass est le coffre-fort de tous vos mots de passe ! En tant que tel, avec des informations si personnelles sur vous, vous devez forcément lui faire confiance à 100 %. Malheureusement, LastPass vient d’être affecté par une faille de sécurité assez critique. Heureusement, l’entreprise a déjà réglé les choses.
Ce ne fut pas forcément un problème très compliqué, mais plutôt une erreur de code. Au moins, c’est l’opinion de Tavis Ormandy de Google, expert en sécurité dans l’équipe Project Zero de Google, qui a détecté de nombreux problèmes au cours des dernières années, y compris le récent incident avec Cloudflare.
Ce dernier a trouvé la faille dans l’extension LastPass de Chrome. Selon Ormandy, l’extension avait un script exploitable qui pouvait être attaqué pour extraire les mots de passe du gestionnaire. Cette faille pouvait également être exploitée pour exécuter des commandes sur l’ordinateur de la victime, ce dont l’expert de Google a rapidement démontré.
Rien n’était sûr
Depuis que LastPass fonctionne en stockant les mots de passe dans le cloud, l’extension dans votre navigateur est votre lien continuel vers votre compte LastPass, afin d’accélérer vos authentifications lorsque vous naviguez sur Internet. La vulnérabilité a rendu dangereuses les navigations des utilisateurs qui parcourent un site Web malveillant, puisque tous vos mots de passe auraient pu être repris par des hackers.
La faille permet un accès complet aux commandes LastPass RPC (Remote Procedure Call), les instructions internes de l’application. Malheureusement, il y a des centaines d’instructions RPC dans LastPass que des hackers sans scrupules peuvent notamment utiliser pour révéler les mots de passe de l’utilisateur. Et, il semble que seulement deux simples lignes de code JavaScript ont suffi pour détourner LastPass.
Heureusement, LastPass a déjà résolu le problème dans son extension Chrome. Comme toujours, la compagnie avait été informée dès le début de la vulnérabilité découverte, et a travaillé directement avec Tavis pour publier un correctif. Une vulnérabilité semblable a ensuite été découverte dans l’extension Firefox de LastPass, un bug qui pourrait être exploité par des pages Web malveillantes pour extraire les mots de passe directement dans le gestionnaire. Là encore, LastPass a travaillé pour corriger cette vulnérabilité.
