LastPass : Faille “zero-day” dans le gestionnaire de mots de passe
Les gestionnaires de mot de passe comme LastPass sont des outils qui vous aident à stocker les nombreux comptes que le monde moderne actuel, toujours plus connecté, impose.
De nos jours, il ne s’agit pas uniquement des mots de passe pour vos comptes en ligne habituels, tels que webmail, Facebook et Twitter.
Aujourd’hui, chaque activité que vous n’associez pas à priori avec internet, telle que la location d’un appartement par exemple, le paiement de vos impôts, ou encore une demande de visa, passe très souvent par une page web qui vous demande de créer un compte, avant de pouvoir continuer.
Le choix et la mémorisation des mots de passe sécurisés sont déjà assez compliqués, même quand vous disposez d’assez de temps pour y réfléchir.
Cependant, le mot de passe pour votre demande de visa par exemple, doit être créé dans l’instant, même si ce dernier est d’ailleurs plus critique que celui que vous avez sur Facebook (essayez de faire une demande de visa avec un faux nom et une fausse date de naissance, comme vous le faites pour vos différentes identités en ligne).
Les gestionnaires de mots de passe peuvent vous être d’un grand secours :
Il existe des avantages, mais la plupart d’entre nous peut mentionner aussi des inconvénients :
Cependant, il existe un troisième problème, et il s’agit d’un problème commun à toutes les applications qui interagissent avec le monde extérieur.
De plus, cela concerne la plupart des mots de passe, car un gestionnaire de mots de passe travaille d’habitude en duo avec votre navigateur, ainsi que le contenu des pages web, de manière à décider quel mot de passe correspond a quel site internet.
En d’autres termes, votre gestionnaire de mot de passes est à coup sûr en danger vis-à-vis des vulnérabilités classiques, que l’on retrouve dans les logiciels en ligne traditionnels, tels que les navigateurs, Flash Player et les applications de messagerie instantanée.
Ces vulnérabilités vont des et la fuite de données (une sorte de faille béante, plutôt inquiétante concernant un gestionnaire de mots de passe) aux , et l’incontournable des bugs de sécurité, à savoir le .
EN SAVOIR PLUS SUR LES VULNERABILITES
RCE signifie qu’un cybercriminel peut envoyer un contenu venant de l’extérieur pour duper votre application, et l’inciter à lancer un logiciel non autorisé, sans réelle sécurité.
Malheureusement, il s’agit exactement du type de vulnérabilités que l’expert Tavis Ormandy de l’équipe sécurité Project Zero de Google, déclare avoir trouvé au sein du populaire et très répandu gestionnaire de mots de passe : LastPass.
Il faut noter qu’un bug RCE au sien de LastPass signifie que des cybercriminels qui savent comment exploiter cette faille de sécurité, ont à leur disposition très certainement une autre faille permettant la fuite de données.
Un RCE signifie également que les cybercriminels peuvent aussi certainement modifier le comportement de LastPass en temps réel, et le pousser à livrer tous ces secrets.
Cependant, c’est bien pire encore, car la plupart des failles de type RCE permettent aussi de mener des attaques classiques, telles que la mise en place d’un malware pour saboter la sécurité d’autres parties du système, ou encore l’installation d’un ransomware, ou le vol de données directement sur le disque dur qui pourrait quant à lui être protégé par un mot de passe qui n’est pas stocké dans LastPass.
Quoi faire avec cette vulnérabilité LastPass ?
Devez-vous arrêter d’utiliser LastPass, temporairement ou définitivement ?
Il est difficile de répondre à cette question pour le moment, mais il faut toutefois souligner qu’il ne s’agit pas d’une faille zero-day, même si c’est l’impression qu’elle a donnée.
Une vulnérabilité zero-day est un bug que les cybercriminels savent déjà exploiter, avant même qu’un fix ne soit disponible. En d’autres termes, il y a eu zéro jour durant lesquels même un sysadmin talentueux a pu agir pour traiter cette faille.
Dans notre cas, Google est en train de travailler avec LastPass pour développer un fix, et les détails de ce bug n’ont pas été rendus public, ce qui est connu, pour des raisons évidentes comme “une divulgation responsable”.
Ainsi, si vous avez pris la décision de laisser tomber LastPass sur ces seuls éléments, vous devez alors d’urgence laisser tomber Linux, Windows, OS X, Android et iOS par la même occasion !
Après tout, quasiment toutes les mises à jour sécurité pour ces plateformes intègrent des patches concernant au moins (et parfois plus) une faille RCE…
…qui pour la plupart ont été découvertes de la même manière, à savoir par un expert sécurité externe, et qui les a divulguées de la même façon.
Pour conclure, si vous êtes un utilisateur de LastPass, gardez les yeux grands ouverts en attendant les prochaines mises à jour, et surtout installez la immédiatement.
Follow @SophosFrance
//
Partagez LastPass : Faille “zero-day” dans le gestionnaire de mots de passe avec : http://wp.me/p2YJS1-2RP
Billet inspiré de LastPass password manager “zero-day” bug hits the news par Paul Ducklin, Sophos NakedSecurity.