Le gestionnaire de mots de passe LastPass diffuse un correctif à la suite d’une notification faisant état d’une vulnérabilité dans son logiciel.

La sonnette d’alarme a été tirée mardi par Tavis Ormandy, un membre de l’équipe Zero Project, qui se consacre à la détection de failles particulièrement graves. En jetant un œil dans le fonctionnement de LastPass, un gestionnaire de mots de passe, il constate l’existence d’une vulnérabilité permettant un accès à distance. Devant le sérieux de sa découverte, il envoie un signalement à LastPass.

Le moins que l’on puisse dire, c’est que la notification n’est pas tombée dans l’oreille d’un sourd. Peu après l’alerte de Tavis Ormandy, les débats survenus sur Twitter et la couverture médiatique qui s’en est suivie, LastPass a pris la parole pour revenir sur la brèche qui a été détectée. Et pour rassurer ses usagers : un patch a été déployé pour éviter que les trouvailles de Tavis ne tombent entre de mauvaises mains.

Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Twitter.
Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par Twitter avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus)

Gérer mes choix

En fait, la brèche — dont des éléments techniques sont renseignés à cette adresse — ne touche a priori qu’une version très précise de l’extension LastPass pour Windows, à savoir la mouture 4.1.20a. Cette déclinaison n’est plus distribuée pour le moment par LastPass (la version proposée est la 4.1.7), pas plus que par Mozilla via sa boutique d’extensions (la version listée est numérotée 3.3.1) Il n’est pour l’heure pas démontré que la technique de Tavis marche avec une autre version ou avec un autre navigateur.

« Le récent rapport ne concerne que les usagers sur Firefox. Si vous êtes de ceux-là et que vous utilisez LastPass 4.0 ou supérieur, une mise à jour sera poussée vers votre navigateur avec un correctif estampillé 4.1.21a. Si vous voulez mettre à jour le logiciel préventivement, vous pouvez passer par notre lien de téléchargement. Si vous utilisez LastPass 3.0, vous n’êtes pas affecté et vous n’avez pas besoin d’effectuer de mise à jour », écrit la société.

Si vous ne savez pas quelle est la version de l’extension LastPass sur Firefox que vous utilisez, il est possible de le vérifier dans le menu « Plus d’options » puis dans « À propos de LastPass ».

une comparateur meilleur gestionnaire mdp numerama

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !