Vous utilisez LastPass pour stocker et gérer vos mots de passe au quotidien ? Alors attendez-vous à mettre à jour le logiciel très bientôt : sur Twitter, Tavis Ormandy, un chercheur en sécurité informatique, a annoncé ce mardi avoir déniché une faille de sécurité avec la version 4.1.42 de l’application, lorsqu’une extension pour Chrome ou Firefox est utilisée.
Cette vulnérabilité est sérieuse. Un assaillant pourrait s’en servir pour exécuter du code arbitraire à distance si un « composant binaire » est utilisé (celui-ci peut s’avérer nécessaire pour le fonctionnement de certains services, comme le partage de l’état de connexion avec d’autres navigateurs) ou pour dérober des mots de passe.
Selon Tavis, qui officie depuis plusieurs années maintenant au sein de l’équipe Project Zero mise en place par Google pour dénicher des brèches critiques dans les logiciels, comme les failles 0-day, même la double authentification, c’est-à-dire le fait de se connecter en renseignant le mot de passe et une autre méthode (par exemple un code temporaire reçu par SMS), est contournée.
La méthode pour exploiter la vulnérabilité ne nécessite que deux lignes de JavaScript et concerne aussi bien les systèmes d’exploitation Windows que les distributions Linux, explique le spécialiste. Il ajoute que sa trouvaille pourrait aussi fonctionner sur d’autres plateformes. Une supposition que Tavis Ormandy n’aura pas le temps de vérifier, puisqu’il a d’ores et déjà pris contact avec LastPass pour lui fournir tous les détails.
De son côté, le gestionnaire indique avoir bien pris connaissance du rapport fourni par Tavis Ormandy. « Nos équipes ont déployé une solution de rechange pendant que nous travaillons à la résolution [de l’incident]. Restez à l’écoute pour rester informé », lit-on sur Twitter. L’entreprise ajoute que pour le moment, aucune action n’est à entreprendre côté de l’utilisateur.
Un second message publié cet après-midi indique « que l’incident signalé par Tavis Ormandy a été résolu. Nous fournirons des détails complémentaires sur notre blog prochainement ».
Ce n’est pas la première fois que Tavis Ormandy se manifeste auprès de Lastpass pour lui signaler une vulnérabilité. L’an dernier, le chercheur en sécurité avait alerté le gestionnaire sur la présence d’une faille qui permettait d’établir un accès à distance. La brèche a ensuite été colmatée quelques heures plus tard avec la publication d’un patch.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !
