Le gestionnaire de mots de passe LastPass diffuse un correctif à la suite d'une notification faisant état d'une vulnérabilité dans son logiciel.

La sonnette d’alarme a été tirée mardi par Tavis Ormandy, un membre de l’équipe Zero Project, qui se consacre à la détection de failles particulièrement graves. En jetant un œil dans le fonctionnement de LastPass, un gestionnaire de mots de passe, il constate l’existence d’une vulnérabilité permettant un accès à distance. Devant le sérieux de sa découverte, il envoie un signalement à LastPass.

Le moins que l’on puisse dire, c’est que la notification n’est pas tombée dans l’oreille d’un sourd. Peu après l’alerte de Tavis Ormandy, les débats survenus sur Twitter et la couverture médiatique qui s’en est suivie, LastPass a pris la parole pour revenir sur la brèche qui a été détectée. Et pour rassurer ses usagers : un patch a été déployé pour éviter que les trouvailles de Tavis ne tombent entre de mauvaises mains.

En fait, la brèche — dont des éléments techniques sont renseignés à cette adresse — ne touche a priori qu’une version très précise de l’extension LastPass pour Windows, à savoir la mouture 4.1.20a. Cette déclinaison n’est plus distribuée pour le moment par LastPass (la version proposée est la 4.1.7), pas plus que par Mozilla via sa boutique d’extensions (la version listée est numérotée 3.3.1) Il n’est pour l’heure pas démontré que la technique de Tavis marche avec une autre version ou avec un autre navigateur.

« Le récent rapport ne concerne que les usagers sur Firefox. Si vous êtes de ceux-là et que vous utilisez LastPass 4.0 ou supérieur, une mise à jour sera poussée vers votre navigateur avec un correctif estampillé 4.1.21a. Si vous voulez mettre à jour le logiciel préventivement, vous pouvez passer par notre lien de téléchargement. Si vous utilisez LastPass 3.0, vous n’êtes pas affecté et vous n’avez pas besoin d’effectuer de mise à jour », écrit la société.

Si vous ne savez pas quelle est la version de l’extension LastPass sur Firefox que vous utilisez, il est possible de le vérifier dans le menu « Plus d’options » puis dans « À propos de LastPass ».

Partager sur les réseaux sociaux

Articles liés