LastPass a été alerté d'une vulnérabilité dans son logiciel qui compromettait la sécurité des mots de passe. Un correctif a été déployé.

Vous utilisez LastPass pour stocker et gérer vos mots de passe au quotidien ? Alors attendez-vous à mettre à jour le logiciel très bientôt : sur Twitter, Tavis Ormandy, un chercheur en sécurité informatique, a annoncé ce mardi avoir déniché une faille de sécurité avec la version 4.1.42 de l’application, lorsqu’une extension pour Chrome ou Firefox est utilisée.

Cette vulnérabilité est sérieuse. Un assaillant pourrait s’en servir pour exécuter du code arbitraire à distance si un « composant binaire » est utilisé (celui-ci peut s’avérer nécessaire pour le fonctionnement de certains services, comme le partage de l’état de connexion avec d’autres navigateurs) ou pour dérober des mots de passe.

Oops, new LastPass bug that affects 4.1.42 (Chrome&FF). RCE if you use the "Binary Component", otherwise can steal pwds. Full report on way. pic.twitter.com/y92vm3Ibxd — Tavis Ormandy (@taviso) March 20, 2017

Selon Tavis, qui officie depuis plusieurs années maintenant au sein de l’équipe Project Zero mise en place par Google pour dénicher des brèches critiques dans les logiciels, comme les failles 0-day, même la double authentification, c’est-à-dire le fait de se connecter en renseignant le mot de passe et une autre méthode (par exemple un code temporaire reçu par SMS), est contournée.

La méthode pour exploiter la vulnérabilité ne nécessite que deux lignes de JavaScript et concerne aussi bien les systèmes d’exploitation Windows que les distributions Linux, explique le spécialiste. Il ajoute que sa trouvaille pourrait aussi fonctionner sur d’autres plateformes. Une supposition que Tavis Ormandy n’aura pas le temps de vérifier, puisqu’il a d’ores et déjà pris contact avec LastPass pour lui fournir tous les détails.

We are aware of the report by @taviso and our team has put a workaround in place while we work on a resolution. Stay tuned for updates. — LastPass (@LastPass) March 21, 2017

De son côté, le gestionnaire indique avoir bien pris connaissance du rapport fourni par Tavis Ormandy. « Nos équipes ont déployé une solution de rechange pendant que nous travaillons à la résolution [de l’incident]. Restez à l’écoute pour rester informé », lit-on sur Twitter. L’entreprise ajoute que pour le moment, aucune action n’est à entreprendre côté de l’utilisateur.

Un second message publié cet après-midi indique « que l’incident signalé par Tavis Ormandy a été résolu. Nous fournirons des détails complémentaires sur notre blog prochainement ».

The issue reported by Tavis Ormandy has been resolved. We will provide additional details on our blog soon. — LastPass (@LastPass) March 21, 2017

Ce n’est pas la première fois que Tavis Ormandy se manifeste auprès de Lastpass pour lui signaler une vulnérabilité. L’an dernier, le chercheur en sécurité avait alerté le gestionnaire sur la présence d’une faille qui permettait d’établir un accès à distance. La brèche a ensuite été colmatée quelques heures plus tard avec la publication d’un patch.

Partager sur les réseaux sociaux Tweeter Partager Partager Partager redditer

La suite en vidéo