Le gestionnaire de mot de passe LastPass a été contraint d’augmenter sa sécurité pour lutter contre le phishing.
Beaucoup d’internautes ont recours aux gestionnaires de mots de passe, car ils fréquentent souvent de nombreux sites différents et il est parfois difficile de se rappeler de ses mots de passe, sauf si vous avez la mauvaise habitude d’utiliser un mot de passe unique pour tous vos comptes en ligne. LastPass fait partie des gestionnaires de mots de passe les plus populaires et pourtant, il vaut mieux être vigilent lors de son utilisation. Un chercheur en sécurité vient de mettre en garde sur les attaques de phishing visant le service.
Lors de la conférence Shmoocon 2016, le chercheur en sécurité Sean Cassidy a expliqué qu’une tentative de phishing
n’était pas très compliquée à mettre en place sur un navigateur Web. Pour le prouver, il en a fait la démonstration avec le navigateur Google Chrome.
Sa démonstration a montré comment les sites Web malveillants peuvent afficher des pop-ups similaires à ceux affichés par LastPass pour se connecter. Bien évidemment, si l’internaute l’utilise, une réplique de l’écran d’authentification s’affiche pour récupérer les identifiants et ainsi procéder à l’authentification sur LastPass. Sean Cassidy explique que la tentative fonctionne aussi pour l’authentification à deux facteurs. Avec un faux écran, il peut récupérer le code secret pour accéder à la base de données de mots de passe.
Pour lutter contre le phénomène, LastPass a revu la sécurité pour les personnes qui tentent de se connecter au service. Tout internaute se connectant au service depuis une adresse IP ou un terminal inconnu doit consulter sa boîte e-mail et approuver manuellement la tentative de connexion. Cela rend plus difficile pour les pirates de voler les mots de passe.
LastPass a publié un billet de blog pour répondre à l’article de Cassidy. Le service écrit que sa procédure de vérification « réduit considérablement la menace de ce genre d’attaques. » Il a déclaré que les utilisateurs ayant activé l’authentification à deux facteurs (où plusieurs périphériques sont nécessaires pour se connecter à un service) devront également utiliser la vérification par e-mail pour éviter toute fausse version du site.
