Des vulnérabilités rapidement traitées par LastPass !
Lorsque des vulnérabilités font leur apparition dans l’incontournable gestionnaire de mot de passe LastPass, elles ont l’habitude d’arriver par rafales petites mais plutôt violentes.
L’année dernière, la plateforme avait été frappée par deux vulnérabilités, l’une découverte par Matthias Karlsson de Dectify, et l’autre par Tavis Ormandy de Google Project Zero, le chasseur de bugs en chef. Dans les deux cas, LastPass semble avoir réagi bien avant la divulgation publique.
En Janvier, l’expert Sean Cassidy est arrivé avec sa faille “LostPass“, un problème initial de conception qui est devenu une véritable preuve de concept astucieuse, permettant de lancer des attaques par hameçonnage, avec des contournements partiels de la vérification en deux étapes (similaire à une utilisation de LastPass sans un jeton comme YubiKey).
LastPass avait répondu rapidement avec une légère modification, en se plaignant de la façon dont Chrome limitait les notifications au niveau des fenêtres du navigateur, mais avait tout de même expliqué le problème en détail.
Récemment, Ormandy est revenu à la charge, en signalant trois vulnérabilités au niveau des extensions de navigateur Firefox, Chrome et Edge, dont une assez sérieuse concernant un “website connector”, qui aurait pu permettre à des cybercriminels de passer des commandes internes (ce que fait le mot de passe de LastPass et la saisie automatique), après avoir attiré des utilisateurs sur un site web malveillant.
LastPass a admis, en déclarant:
Cela permettrait à un cybercriminel de récupérer et révéler des informations concernant un compte LastPass, telles que les données d’identification de connexion de l’utilisateur.
Étant donné que LastPass est un gestionnaire de mots de passe, qui stocke habituellement des dizaines voire des centaines de mots de passe et des noms d’utilisateur, cela reviendrait à voler les joyaux de la couronne en utilisant uniquement deux lignes de JavaScript. La vulnérabilité peut même être utilisée pour exécuter des commandes sur un ordinateur, ce qu’Ormandy a démontré en utilisant une preuve de concept plutôt gênante, nommée calc.exe.
LastPass a découvert ce problème le 20 mars, et d’après nos informations en a fait une priorité absolue :
Après le signalement de cette vulnérabilité, l’équipe LastPass a immédiatement fermé le service vulnérable, et a commencé à travailler dur pour traiter tous les clients concernés.
Quelles remarques pouvons-nous faire ? Tout d’abord LastPass souffre de vulnérabilités logicielles occasionnelles, dont certaines d’entre elles sont très sérieuses, rien d’inhabituel à part le fait que LastPass se soit arrêté immédiatement pour traiter le problème.
Nous mentionnons ce point, non pas pour mettre LastPass sur un piédestal, mais parce que tous les éditeurs de logiciels, avec des millions d’utilisateurs devraient se comporter ainsi en de pareilles circonstances. Des vulnérabilités graves ne devraient pas apparaitre en premier lieu, mais avant qu’une seule ligne de code ne soit ré-écrite, il s’agit bien avant tout d’adopter une attitude appropriée.
Une réponse et une communication adéquates sont essentielles pour les gestionnaires de mot de passe dans le Cloud, qui sont passés du statut de simples utilitaires pratiques à celui d’outil incontournable, et ce en un rien de temps. Une vulnérabilité ignorée peut avoir un jour des conséquences désastreuses.
La maintenance des gestionnaires de mot de passe est plus difficile qu’il n’y parait, et pas seulement parce que les mises à jour doivent être approuvées par les développeurs de navigateurs. En effet, ils fonctionnent comme des extensions pour plusieurs navigateurs, et il peut s’avérer déroutant de devoir pister quelle vulnérabilité concerne quel logiciel.
Une complication supplémentaire avec LastPass Firefox a été l’existence de deux versions, l’ancienne 3.x (à la retraite néanmoins sous peu) et la nouvelle 4.x, qui dans certains milieux n’est pas nécessairement appréciée.
Les utilisateurs des versions LastPass 4.1.36 (Firefox), 4.1.43 (Chrome), 4.1.30 (Edge) et 4.1.28 (Opera), ont reçu un patch traitant le sérieux problème lié au “web connector”. Une deuxième vulnérabilité chevauchante, affecte l’ancienne version de Firefox 3.3.2 avec un correctif permettant une mise à niveau vers 4.x.
Donc, même sans la crise existentielle provoquée par un exploit connu, cette semaine n’a pas été très agréable pour LastPass. Mais, de notre côté, nous trouvons cette urgence plutôt agréable !
Follow @ SophosFrance //platform.twitter.com/widgets.js
Billet inspiré de LastPass steps up quickly to fix vulnerabilities spotted by researchers, par John E Dunn, Sophos NakedSecurity.