Sean Cassidy, un chercheur en sécurité informatique a mis au point une attaque par phishing assez convaincante qui vise le gestionnaire de mots de passe LastPass.

Le phishing, qui consiste à faire croire à un individu qu’il s’adresse à un tiers de confiance sur Internet dans le but de lui soutirer des informations, implique bien souvent la responsabilité de l’utilisateur. Mais pour le chercheur Sean Cassidy, une forgerie extrêmement bien réalisée pourrait passer inaperçue même pour les utilisateurs expérimentés. Et c’est dans ce cas au service de se prémunir contre ces attaques en développant des mécanismes d’identification plus complexes.

Lors de la conférence Shmoocon 2016, le chercheur en sécurité a présenté « LostPass », une technique de phishing qui permet de récupérer le mot de passe maître d’un compte LastPass. Il explique sur son blog la technique, plutôt simple à mettre en place. Elle consiste à faire visiter aux internautes un site contrefait qui provoque la déconnexion des comptes LastPass et demande à l’utilisateur de se reconnecter avec un bandeau de type « Votre session LastPass a expiré. Reconnectez-vous ».

lastpass_notification

Si l’utilisateur continue sur le lien, on lui présente une fenêtre de connexion  identique à celle utilisée par LastPass sur son extension Google Chrome. Seul le nom de domaine utilisé par l’extension diffère légèrement et permettrait aux utilisateurs les plus attentifs de remarquer l’attaque. L’attaque est plus difficile à mettre en place sur Firefox du fait de la gestion des extensions par le navigateur, mais pas impossible selon Cassidy.

lastpass_login

Si l’utilisateur tombe dans le piège et rentre ses informations de connexions, celles-ci arrivent bien entendu dans les mains du hacker. Le serveur de l’attaquant peut même vérifier grâce à l’API de LastPass si les informations sont correctes et demander le token de double authentification de l’utilisateur ! Une fois que l’attaquant a obtenu le mot de passe maître et le token, il n’a plus qu’à télécharger l’intégralité de la base de données de mots de passe stockée sur LastPass, ou même installer une backdoor sur le compte grâce à la fonction de contact d’urgence.

lastpass_2fa

Contacté par le chercheur, LastPass affirme travailler sur l’amélioration du processus. Le service a déjà mis en place une confirmation par mail pour toutes les connexions à partir d’une nouvelle IP. Cassidy précise cependant que ce fix n’élimine pas entièrement LostPass.

Un gestionnaire de mot de passe reste une solution préférable au post-it ou pire au mot de passe unique. Nous pensons cependant qu’il faut éviter les extensions de navigateurs souvent proposées par les gestionnaires de mots de passe.

Partager sur les réseaux sociaux

Articles liés