LastPass a publié une mise à jour la semaine dernière pour corriger un bug de sécurité qui expose les informations d’identification entrées sur un site précédemment visité.
LastPass a corrigé un bug qui aurait permis à un site Web malveillant d’extraire un mot de passe précédent saisi par l’extension de navigateur du service. ZDNet rapporte que le bug a été découvert par Tavis Ormandy, un chercheur de l’équipe Project Zero de Google, révélé dans un rapport de bug daté du 29 août. LastPass a résolu le problème le 13 septembre et a déployé la mise à jour sur tous les navigateurs où elle devrait être appliquée automatiquement, ce que les utilisateurs de LastPass auraient intérêt à vérifier.
Le bug fonctionne en attirant les utilisateurs sur un site Web malveillant et en trompant l’extension du navigateur pour qu’elle utilise un mot de passe d’un site Web précédemment visité. Ormandy note que les attaquants pourraient utiliser un service tel que Google Translate pour dissimuler une URL malveillante et inciter les utilisateurs vulnérables à visiter un site non autorisé.
LastPass could leak the last used credentials due to a cache not being updated. This was because you can bypass the tab credential cache being populated by including the login form in an unexpected way! https://t.co/bfLdDzSWS5
— Tavis Ormandy (@taviso) September 16, 2019
Bien que LastPass indique que la mise à jour doit être appliquée automatiquement, vous devez absolument vérifier que vous utilisez la version la plus récente de l’extension de navigateur du service, en particulier si vous utilisez un navigateur qui vous permet de désactiver les mises à jour automatiques des extensions. Le bug a été corrigé avec la version 4.33.0 de l’extension. LastPass a déclaré croire que seuls les navigateurs Chrome et Opera étaient concernés par le bug, mais qu’il déployait le même correctif sur tous les navigateurs par précaution.
Dans une déclaration publiée sur son blog, LastPass a minimisé la gravité du bug. Ferenc Kun, responsable de l’ingénierie de la sécurité de la société, a déclaré que la faille reposait sur le fait qu’un utilisateur visitant un site malveillant, puis était trompé en cliquant sur la page «plusieurs fois». Ormandy a néanmoins attribué au bug un indice de gravité «Elevé». Le bug a été divulgué à LastPass de manière responsable avant d’être rendu public, et rien ne prouve qu’un exploit ait jamais été déployé sur le Web.
Malgré ce bug, l’utilisation d’un gestionnaire de mot de passe reste une excellente mesure pour protéger votre sécurité en ligne. L’existence du bug souligne le fait que les gestionnaires de mots de passe, comme tout service en ligne, peuvent toujours être exposés à des problèmes de sécurité. Par conséquent, il est judicieux d’ajouter une authentification à deux facteurs à tous les sites qui prennent cela en charge, ainsi que d’utiliser des mots de passe forts uniques que vous ne réutiliserez jamais entre services.
