Passer au contenu

Festival de failles critiques chez LastPass, le gestionnaire de mots de passe

Google Project Zero a mis la main, coup sur coup, sur des bugs permettant de voler les mots de passe des utilisateurs, voire exécuter du code malveillant à distance sur leurs machines. Tout a depuis été corrigé.

Tavis Ormandy a de nouveau frappé. En l’espace de vingt-quatre heures, le redoutable limier de Google Project Zero a mis la main sur deux failles de sécurité critiques dans l’extension pour navigateur LastPass, le célèbre gestionnaire de mots de passe. La première a été trouvée dans un code Javascript de ce logiciel et permettait à un attaquant de voler les mots de passe d’un utilisateur au travers d’un site web piégé, quel que soit le navigateur utilisé.

Si l’utilisateur a installé « LastPass Binary Component » – une version musclée de l’extension qui apporte plus de fonctionnalités – l’attaquant pourra même exécuter du code arbitraire à distance. Pour savoir si vous utilisez la version « Binary Component », il faut aller dans le menu déroulant de LastPass, puis ouvrir « Plus d’options -> A propos de LastPass ». La version augmentée est installée si vous voyez le mot « vrai » à côté de la mention « Binary Component » ou « Composant exécutable ».   

Heureusement, pas le peine de paniquer. Depuis, LastPass a diffusé un patch qui résout le problème. Enfin presque, car peu après cette notification, Tavis Ormandy a signalé sur Twitter avoir trouvé une seconde faille critique permettant « de voler des mots de passe pour n’importe quel domaine ».

https://twitter.com/taviso/status/844312124541186048

Il s’agissait là d’une vulnérabilité similaire à la première, mais spécifique à la version pour Firefox. Les détails techniques sont disponibles en ligne. Là encore, les ingénieurs de LastPass ont heureusement d’ores et déjà diffusé un patch avec la version 4.1.36a.

A noter, enfin, que LastPass vient de corriger une troisième faille que Tavis Ormandy avait détecté il y a près d’une semaine dans la branche 3.3. Celle-ci est en réalité la plus fréquemment utilisée sur Firefox, car c’est la version officielle diffusée par addons.mozilla.org. Pour télécharger Lastpass 4 pour Firefox, il faut aller sur une page spéciale.

Bref, on a assisté à un véritable festival de failles pour LastPass. Ce qui est quand même rassurant, c’est que l’éditeur s’efforce de très vite les corriger, au point même de récolter un tweet de félicitation de la part de Tavis Ormandy. Ce qui n’est pas rien.

 Sources : rapports de failles 1188, 1209, 1217

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN