Mi-septembre, LastPass a annoncé une mise à jour de son gestionnaire de mots de passe. Google l'avait alerté d'une vulnérabilité qui permettait d'afficher dans certaines circonstances le dernier mot de passe utilisé.

La vie d’un gestionnaire de mots de passe n’est pas un long fleuve tranquille. LastPass en sait quelque chose : périodiquement, le logiciel de l’entreprise américaine LogMeIn fait les gros titres pour des incidents de sécurité qui remettent en cause la protection des codes secrets stockés dans le coffre-fort numérique. L’histoire s’est répétée à la mi-septembre, avec une nouvelle alerte — résolue depuis.

C’est à Tavis Ormandy que l’on doit la découverte de cette faille, qui s’était nichée dans l’extension que LastPass propose pour interfacer son programme avec le navigateur web de l’internaute. En utilisant une page web spécialement trafiquée pour l’occasion, il était possible d’afficher — et donc de collecter — le dernier mot de passe utilisé. Un tiers malveillant pouvait alors s’en servir à des fins malveillantes.

LastPass propose de mémoriser les mots de passe à votre place. // Source : LastPass

Ce n’est pas la première fois que Tavis Ormandy se penche sur la conception de LastPass. L’intéressé avait déjà repéré des défauts dans l’application en 2016 et 2017. À chaque fois, un échange discret avait eu lieu entre l’expert informatique et l’entreprise pour échanger sur les détails de la vulnérabilité. LastPass corrigeait alors son produit et ce n’est qu’à ce moment-là que Tavis Ormandy partageait ses constatations.

Tavis Ormandy est membre du Projet Zéro. Il s’agit d’une équipe installée par Google pour dénicher des vulnérabilités critiques dans les logiciels, notamment les failles 0-day (c’est-à-dire les brèches qui ne sont pas documentées ou dont le correctif n’est pas connu), et qui s’efforce de suivre les principes de la divulgation responsable. Il s’agit, en résumé, de ménager du temps à l’entreprise pour corriger son logiciel avant d’en dévoiler les détails.

Correctifs disponibles

Le compte-rendu de Tavis Ormandy « a révélé un ensemble limité de circonstances sur des extensions spécifiques pour navigateur qui pourraient potentiellement permettre à un attaquant de créer un scénario de détournement de clic », admet LastPass. Toutefois, le risque était très spécifique et il n’est pas certain qu’il ait affecté grand monde, à supposer que des personnes aient souffert de ce bug.

LastPass observe ainsi dans un bilan publié le 13 septembre, une fois les mises à jour développées et déployées, « qu’une série d’actions devrait être prise par un utilisateur » , « y compris remplir un mot de passe avec l’icône LastPass, puis visiter un site compromis ou malveillant et finalement être amené à cliquer plusieurs fois sur la page ». Deux navigateurs étaient concernés : Opera et Google Chrome.

Si ce n’est pas déjà fait, mettez à jour LastPass (en version v4.33.0 / v4.33.4 en fonction des cas de figure). La mouture la plus récente a été déployée le 12 septembre et concerne Chrome, Firefox,  Safari, Edge, Internet Explorer et Opera — des bugs mineurs ont aussi été corrigés par la même occasion. En principe, la mise à jour s’est installée automatiquement, mais une vérification manuelle peut être judicieuse.

Article publié initialement le 17 septembre 2019

Partager sur les réseaux sociaux