Une erreur dans le texte ?

C'est le bon endroit pour nous l'indiquer !
Attention, ce formulaire ne doit servir qu'à signaler une erreur. N'hésitez pas à utiliser les commentaires pour donner votre avis, ou la page de contact pour nous contacter. Merci.

Etape 1

Cliquez sur les paragraphes contenant des erreurs !

Nouvelle alerte pour la sécurité des mots de passe stockés dans LastPass

LastPass a été alerté d'une vulnérabilité dans son logiciel qui compromettait la sécurité des mots de passe. Un correctif a été déployé.

Vous utilisez LastPass pour stocker et gérer vos mots de passe au quotidien ? Alors attendez-vous à mettre à jour le logiciel très bientôt : sur Twitter, Tavis Ormandy, un chercheur en sécurité informatique, a annoncé ce mardi avoir déniché une faille de sécurité avec la version 4.1.42 de l'application, lorsqu'une extension pour Chrome ou Firefox est utilisée.

Cette vulnérabilité est sérieuse. Un assaillant pourrait s'en servir pour exécuter du code arbitraire à distance si un « composant binaire » est utilisé (celui-ci peut s'avérer nécessaire pour le fonctionnement de certains services, comme le partage de l'état de connexion avec d'autres navigateurs) ou pour dérober des mots de passe.

https://twitter.com/taviso/status/843965519371812864

Selon Tavis, qui officie depuis plusieurs années maintenant au sein de l’équipe Project Zero mise en place par Google pour dénicher des brèches critiques dans les logiciels, comme les failles 0-day, même la double authentification, c'est-à-dire le fait de se connecter en renseignant le mot de passe et une autre méthode (par exemple un code temporaire reçu par SMS), est contournée.

La méthode pour exploiter la vulnérabilité ne nécessite que deux lignes de JavaScript et concerne aussi bien les systèmes d'exploitation Windows que les distributions Linux, explique le spécialiste. Il ajoute que sa trouvaille pourrait aussi fonctionner sur d'autres plateformes. Une supposition que Tavis Ormandy n'aura pas le temps de vérifier, puisqu'il a d'ores et déjà pris contact avec LastPass pour lui fournir tous les détails.

https://twitter.com/LastPass/status/844142653503688705

De son côté, le gestionnaire indique avoir bien pris connaissance du rapport fourni par Tavis Ormandy. « Nos équipes ont déployé une solution de rechange pendant que nous travaillons à la résolution [de l'incident]. Restez à l'écoute pour rester informé », lit-on sur Twitter. L'entreprise ajoute que pour le moment, aucune action n'est à entreprendre côté de l'utilisateur.

Un second message publié cet après-midi indique « que l'incident signalé par Tavis Ormandy a été résolu. Nous fournirons des détails complémentaires sur notre blog prochainement ».

https://twitter.com/LastPass/status/844176201392504834

Ce n'est pas la première fois que Tavis Ormandy se manifeste auprès de Lastpass pour lui signaler une vulnérabilité. L'an dernier, le chercheur en sécurité avait alerté le gestionnaire sur la présence d'une faille qui permettait d'établir un accès à distance. La brèche a ensuite été colmatée quelques heures plus tard avec la publication d'un patch.