LastPass : une faille zero day menace tous les comptes

LastPass est un gestionnaire de mots de passe très puissant et il a séduit des millions d’utilisateurs à travers le monde. Si vous en faites partie, alors ces quelques lignes devraient beaucoup vous intéresser, et ce pour une raison assez évidente : une nouvelle faille zero day vient d’être découverte et elle compromet la sécurité des comptes de tous les utilisateurs.

Ce n’est évidemment pas la première fois que LastPass se retrouve dans une telle situation. En réalité, l’entreprise accumule les failles et les vulnérabilités depuis l’année dernière.

Faille LastPass

LastPass est confronté à une nouvelle faille très méchante.

En juin 2015, elle avait même demandé aux utilisateurs de réinitialiser leur mot de passe maître pour éviter de mettre en danger leur compte et tous les mots de passe associés. Elle avait ensuite remis le couvert quelques mois plus tard, et plus précisément en janvier dernier.

LastPass accumule les failles depuis l’année dernière

La situation est cependant un peu différente cette fois car cette faille n’a pas été détectée par les ingénieurs de l’entreprise mais par un chercheur travaillant pour l’équipe Project Zero de Google, et plus précisément par Tavis Ormandy.

Si le nom de cette équipe n’évoque rien en vous, alors sachez qu’elle est constituée d’experts en sécurité de haut niveau et elle a pris l’habitude de pousser les solutions les plus populaires dans leurs derniers retranchements pour savoir ce qu’elles ont réellement dans le ventre.

Tavis a donc découvert une nouvelle faille dans le gestionnaire de mots de passe LastPass, une faille qui n’a pas encore été répertoriée officiellement et qui n’a donc pas non plus été corrigée.

S’il n’est pas rentré dans les détails pour éviter de donner de mauvaises idées aux hackers, il a tout de même préciser qu’elle pouvait compromettre la sécurité des comptes de tous les utilisateurs de la plateforme.

Tous les comptes sont concernés

Le pire reste à venir car il suffirait d’une simple page web vérolée et d’un script bien senti pour pouvoir récupérer un accès direct et total à n’importe quel compte.

Comme si cela ne suffisait pas, notre ami n’a eu besoin que de quelques secondes pour détecter cette fameuse faille. Elle n’était en effet pas très difficile à trouver. Difficile de faire moins rassurant, non ?

Il y a tout de même une bonne nouvelle dans le lot. Tavis et les autres membres de l’équipe ont fait remonter l’info à LastPass, avec toutes leurs observations. Avec un peu de chance, un patch ne devrait donc pas tarder à sortir. En attendant, le Project Zero s’est trouvé une autre cible de choix : 1Password.

Mots-clés lastpasssécurité