Si vous utilisez LastPass, alors vos mots de passe ne sont peut-être pas en sécurité
LastPass est une solution très populaire et elle a séduit des millions d’utilisateurs à travers le monde. Rien de surprenant à cela car l’outil est à la fois puissant, flexible et accessible. Il est d’ailleurs possible que vous l’utilisiez chez vous et si c’est le cas, alors cet article devrait beaucoup vous intéresser. Une nouvelle faille critique vient effectivement d’être découverte et vos mots de passe sont peut-être en danger.
Cette faille a été découverte par un chercheur en sécurité du nom de Sean Cassidy et elle a été présentée à l’occasion de la conférence Shmoocon 2016 qui s’est déroulée au début de la semaine à Washington.
Sobrement baptisée LostPass, elle s’appuie entièrement sur une faille de type CSRF, ou “Cross-site-request-forgery”.
Cette faille s’appuie sur du CSRF et sur un zeste de phishing en prime
Cette vulnérabilité concerne surtout les services d’authentification et elle consiste à transmettre à un utilisateur une fausse requête HTTP pointant vers une action interne propre au site.
En se rendant sur la page, l’internaute exécute la commande associée avec ses propres droits sans même s’en rendre compte.
Si vous voulez en savoir plus sur le sujet, le mieux c’est encore de vous rendre sur cette page. Elle explique la nature de la faille mais également la manière dont elle peut être exploitée.
Sean Cassidy a donc développé une page spéciale exploitant cette fameuse faille, une page forçant la déconnexion de LastPass. Il a ensuite affiché un bandeau dans le navigateur pour inciter l’internaute à se reconnecter, avec un bouton renvoyant vers une réplique du site de l’éditeur.
En utilisant cette technique, il serait donc possible de récupérer les mots de passe maître des comptes des internautes.
LastPass a pris de nouvelles mesures pour protéger ses utilisateurs
Vous l’aurez compris, cette attaque combine du CSRF et un zeste de phishing en prime. C’est d’ailleurs ce qui la rend aussi redoutable.
Alors bien sûr, les internautes les plus observateurs remarqueront tout de suite qu’ils ne se trouveront pas sur la bonne page en jetant un coup d’oeil à la barre d’adresse du navigateur, mais le problème c’est que tous les utilisateurs ne sont pas aussi prudents.
Le bon côté de la chose, c’est que notre chercheur a tout de suite contacté l’éditeur de LastPass pour lui faire remonter le problème et ce dernier a mis en place un nouveau dispositif capable d’alerter l’utilisateur s’il saisit son mot de passe sur une page web ne lui appartenant pas.
En marge, il a aussi étendu à tous les comptes la procédure de vérification par email, une procédure qui s’enclenche lorsque l’internaute se connecte depuis une adresse IP ou un terminal inconnu.
Ceci étant, le chercheur précise que si ces mesures atténuent l’attaque “de manière considérable”, elles ne l’éliminent pas totalement et il sera donc préférable de vous montrer prudent et de vérifier systématiquement l’adresse des pages où vous saisissez votre mot de passe.
Utilisant LastPass depuis de nombreux mois, j’ai eu peur à la lecture du titre.. Au final, en lisant l’article, je suis “presque” rassuré.. .
Quelle alternative à Lastpass proposez vous pour stocker tous ses mots de passe en ligne ?