Une nouvelle vulnérabilité dans LastPass : une solution qui pourrait prendre du temps
Tavis Ormandy, du projet Zero Day chez Google, ne laissera décidément pas LastPass dormir tranquille !
Nous avons déjà signalé une série de vulnérabilités qu’Ormandy a découvertes au sein du populaire gestionnaire de mots de passe ces dernières semaines, en mettant l’accent sur la rapidité avec laquelle l’entreprise avait reconnu et traité les problèmes.
Pendant le week-end, LastPass a reçu un nouvel email de leur ennemi juré. Vous pouvez imaginer que l’équipe en charge des vulnérabilités a bondi à la vue de son nom, et à juste titre d’ailleurs, car cette nouvelle vulnérabilité semblait être plutôt sérieuse.
Ormandy a déclaré sur Twitter :
Ah-ha, j’ai eu une illumination sous la douche ce matin, en comprenant comment obtenir le codeexec de LastPass 4.1.43. Le rapport complet et l’exploit associé sont déjà en route.
OK, l’exploit et le rapport complet ont été envoyés à LastPass. Il est maintenant temps de prendre ses responsabilités.
Ormandy n’a pas ajouté beaucoup de détails, en mentionnant la preuve de concept de son exploit, mais nous savons qu’il s’agit d’un “problème architectural majeur” qui pourrait prendre un certain temps à corriger.
Compte tenu de la politique stricte de divulgation sous 90 jours de Project Zero, pour rendre publique une vulnérabilité, un “certain temps” peut signifier des semaines plutôt que des jours.
La vulnérabilité concerne les utilisateurs de la version 4.x sur tous les navigateurs et les plateformes, et permettrait de lancer une attaque par hameçonnage et de voler des mots de passe dans le coffre-fort LastPass, après qu’un utilisateur ait été redirigé vers un site web malveillant. Les cybercriminels pourraient également exécuter du code sur des ordinateurs qui utilisent le composant binaire de LastPass.
Si vous n’avez jamais entendu parler de ce composant, il est utilisé par Chrome, Safari et Opera pour activer certaines fonctionnalités (IE et Firefox n’en ont pas besoin). La vérification de sa présence au niveau des navigateurs peut être réalisée en cliquant sur “Plus d’options” et “A propos de LastPass” : si le composant binaire est listé avec la mention comme “faux”, il n’est pas présent.
Il n’est pas encore précisé si cette vulnérabilité affecte l’ancienne extension v3.x pour Firefox, bien qu’il soit prudent de penser que c’est le cas. Dans tous les cas, cette extension doit être désactivée très prochainement maintenant.
Le conseil de LastPass est le suivant : accéder aux sites web depuis l’intérieur du coffre-fort plutôt qu’à partir de la barre d’outils ou en utilisant la saisie automatique. D’après l’évaluation rapide du problème réalisée par LastPass, cette astuce peu pratique est le seul moyen sécurisé d’utiliser LastPass pour l’instant.
Ensuite, activez l’authentification à deux facteurs (en deux étapes) sur les sites qui le permettent. En réalité, les utilisateurs devraient le faire de toutes les façons.
Enfin, bien qu’il n’y ait aucune preuve que d’autres personnes, en dehors de LastPass et Ormandy, ne connaissent cette vulnérabilité, si toutefois c’était le cas, les cybercriminels cibleraient les utilisateurs en utilisant des attaques par hameçonnage. Il n’existe aucune défense contre ces attaques que l’authentification sécurisée mentionnée ci-dessus, ajoutée à la prudence habituelle bien évidemment.
La semaine dernière, nous avons été enthousiastes en découvrant la manière avec laquelle LastPass avait rapidement reconnu et essayer de corriger au plus vite la vulnérabilité. Nous soutenons bien sûr cette approche, mais nous sommes surpris par la facilité avec laquelle Ormandy a pu dénicher une vulnérabilité aussi sérieuse au sein de ce gestionnaire de mots de passe supposé être mature, et lancé il y a près de neuf ans.
Une analyse à postériori a été promise par LastPass. Inutile de dire que les millions d’utilisateurs ayant placé toute leur confiance dans la société, seront intéressés par les résultats que LastPass pourra fournir.
Follow @ SophosFrance //platform.twitter.com/widgets.js
Billet inspiré de Another hole opens up in LastPass that could take weeks to fix, par John E Dunn, Sophos NakedSecurity.