Connectez-vous avec nous

Ordinateurs et informatique

LastPass bug aurait pu laisser les pirates informatiques voler vos mots de passe

LastPass, le populaire gestionnaire de mots de passe, a publié un correctif pour un bogue qui aurait permis aux sites Web malveillants d’extraire les mots de passe précédemment saisis à l’aide de l’extension de navigateur du service.

Le bug a été découvert pour la première fois par Tavis Ormandy, chercheur chez Google Project Zero, qui a révélé la vulnérabilité à l'entreprise suffisamment tôt pour lui permettre de publier un correctif avant qu'il ne soit exploité à l'état sauvage.

LastPass a depuis résolu le problème en déployant une mise à jour automatique sur tous les navigateurs, mais il était néanmoins recommandé aux utilisateurs de vérifier qu'ils utilisaient la dernière version du logiciel.

Le bogue lui-même consiste à inciter les utilisateurs à visiter un site Web malveillant où leur extension de navigateur LastPass est amenée à utiliser un mot de passe d'un site Web précédemment visité. Selon Ormandy, les attaquants pourraient même utiliser un service tel que Google Translate pour dissimuler une URL malveillante et inciter les utilisateurs non avertis à visiter un site Web.

Bug LastPass

La mise à jour doit être appliquée à LastPass automatiquement, en fonction de l'entreprise, mais il est toujours utile de vérifier si vous utilisez la dernière version de l'extension de navigateur du service. Cela est particulièrement vrai pour les utilisateurs qui exécutent un navigateur qui vous permet de désactiver les mises à jour automatiques pour les extensions.

La version 4.33.0 est la dernière version de l'extension et, selon LastPass, Chrome et Opera sont les seuls navigateurs Web à être vulnérables. Cependant, la société a déployé son dernier correctif sur tous les navigateurs par mesure de précaution. Dans un article de blog, Ferenc Kun, responsable de l'ingénierie de la sécurité chez LastPass, minimisait la gravité du bogue en disant:

«Pour exploiter ce bogue, un utilisateur de LastPass doit entreprendre une série d'actions, notamment remplir un mot de passe avec l'icône LastPass, puis visiter un site compromis ou malveillant et finalement être amené à cliquer plusieurs fois sur la page. Cet exploit peut avoir pour résultat que les dernières informations d'identification de site renseignées par LastPass soient exposées. Nous avons rapidement travaillé à la mise au point d'un correctif et avons vérifié que la solution était complète avec Tavis. ”

De la même manière que les logiciels doivent être corrigés à la dernière version, les extensions de navigateur en tant que cybercriminels doivent être constamment à la recherche de nouveaux moyens d'accéder aux informations d'identification de l'utilisateur et à d'autres informations sensibles.

Via le bord

Les offres de produits Hi-tech en rapport avec cet article

Continuer la lecture
Cliquez pour commenter

Laissez un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

ARTICLES POPULAIRES