LastPass a corrigé deux importantes failles de sécurité

LastPass a corrigé deux importantes failles de sécurité

Si vous utilisez l'extension Firefox, mettez-vous à jour !

Avatar de l'auteur
Sébastien Gavois

Publié dans

Logiciel

28/07/2016 4 minutes
54

LastPass a corrigé deux importantes failles de sécurité

Coup sur coup, deux importantes failles de sécurité ont été signalées pour le gestionnaire de mots de passe LastPass. La première a plus d'un an et concernait tous les navigateurs, tandis que la seconde date d'hier et ne touche que l'extension Firefox. Elles sont toutes les deux bouchées.

LastPass est une application qui permet de centraliser et de sécuriser l'ensemble de vos mots de passe. Elle propose des extensions pour les principaux navigateurs et peut remplir automatiquement les champs d'identification pour vous simplifier la tâche. Autant dire que les données que contient ce gestionnaire de mots de passe sont extrêmement sensibles. Or, hier, deux importantes failles de sécurité sont remontées à la surface.

En l'espace de quelques heures, deux failles critiques sont annoncées

Tout a commencé par un tweet plutôt inquiétant de Tavis Ormandy, un chercheur en sécurité qui fait partie du Projet Zero de Google. Il explique qu'après « avoir jeté un coup d'œil », il remarque « tout un tas de problèmes critiques évidents », sans donner plus de détails sur les tenants et les aboutissants de cette affaire. Quelques heures plus tard, un rapport est envoyé à LastPass et Ormandy ajoute que les équipes de LastPass travaillent à la résolution des problèmes indiqués.

Encore quelques heures plus tard, Mathias Karlsson publie un tweet où il explique que, lui aussi, il a « piraté LastPass » avec un lien vers un billet de blog au titre explicite et inquiétant : « Comment j'ai fait pour que LastPass me donne tous vos mots de passe ». Pour résumer, cette brèche permettait d'extraire les mots de passe proposés par la fonction de remplissage automatique des formulaires.

L'astuce : en intégrant le nom de domaine du site à mimer dans l'adresse du site de phishing (par exemple « http://www.sitedephishing.com/@twitter.com »), l'extension croyait arriver directement sur le site légitime, ici twitter.com. Elle remplissait donc les champs d'identification sans s'inquiéter.

LastPass s'explique : l'une est corrigée depuis plus d'un an, l'autre est récente

Face à cette déferlante, il n'aura pas fallu attendre longtemps pour que LastPass sorte du bois afin de s'expliquer. L'équipe indique tout d'abord que la faille détectée par Mathias Karlsson lui a été « responsablement remontée » il y a plus d'un an, et que « tous les clients des navigateurs ont été mis à jour » à ce moment-là. « En moins d'un jour » ajoute le chercheur, qui précise avoir obtenu une récompense de 1 000 dollars.

Concernant la faille remontée par le chercheur de chez Google, LastPass précise que cela ne concerne que l'extension pour Firefox dans sa version 4.x, et que cette mouture n'est distribuée que via le site de LastPass pour le moment. En effet, en passant par le magasin d'extensions de Firefox, c'est encore la version 3.3.1 qui est proposée à l'heure actuelle. Selon l'éditeur, elle n'est pas vulnérable à cette brèche de sécurité.

Tavis Ormandy a dévoilé les détails de la faille par ici. Si LastPass reste très évasif en indiquant qu'il est possible « d'exécuter des actions LastPass en arrière-plan à l'insu de l'utilisateur, telle que la suppression de certains éléments », le chercheur de chez Google est bien plus incisif et donne de nombreux détails : « un attaquant peut créer et supprimer des fichiers, exécuter des scripts, voler les mots de passe, connecter les victimes à leur propre compte LastPass de manière à ce qu'ils puissent récupérer tout ce qui est sauvegardé de nouveau, etc, etc. ».

Extension pour Firefox : désaccord sur les détails de l'exploitation, un correctif disponible

LastPass précise ensuite qu'un pirate a besoin d'attirer sa victime sur un site malveillant afin d'exploiter cette faille, ce que réfute catégoriquement Tavis Ormandy : « En fait, aucune des attaques décrites ne nécessite du phishing. Je suppose que le billet de blog a été écrit par quelqu'un qui ne connaît pas le terme phishing ».

Dans tous les cas, les deux parties s'accordent sur un point : la faille est bouchée et la mise à jour est en train d'être déployée. L'extension pour Firefox passe ainsi en version 4.1.21a. Si vous ne voulez pas attendre que la mise à jour soit proposée par Firefox, vous pouvez directement la récupérer par ici.

54

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

En l'espace de quelques heures, deux failles critiques sont annoncées

LastPass s'explique : l'une est corrigée depuis plus d'un an, l'autre est récente

Extension pour Firefox : désaccord sur les détails de l'exploitation, un correctif disponible

Commentaires (54)


Faut retourner à Keepass.

Jamais eu de soucis avec :)








spamator a écrit :



Faut retourner à Keepass.

Jamais eu de soucis avec :)





j’ai une meilleure idée : se souvenir de ces mots de passe.



Est-ce serait quoi la solution idéale, avoir un cerveau capable de retenir 200 mots de passe de 16 caractères aléatoires?


”….ses mots de passe”

 Réponse très intelligente, surtout quand t’as 50 mots de passe différents à retenir.








jeje07bis a écrit :



j’ai une meilleure idée : se souvenir de ces mots de passe.





Si tu utilise “motdepasse” comme mot de passe pour tous tes logins, effectivement c’est la meilleure solution. <img data-src=" />



Tu utillises une règle de génération qui donne des password unique. Pas besoin de les retenir, juste l’algo de creation.


Suffit qu’un seul des sites se fasse péter sa BD, qu’il les stock en clair ou autre solution de hashage style MD5, on retrouve ton password, ta méthode de génération et ce sont tous tes MDPs qui tombent.


Facile: “motdepassedusitenom_du_site”



Je suis déjà loiiiin <img data-src=" />



Edit: pff, on peut pas ecrire un truc entre inférieur et supérieur :S


Tu as ce genre de solution : http://forum.nextinpact.com/topic/157193-bien-gérer-ses-mots-de-passe. Elle n’est pas parfaite mais vu que tu ne t’appelles pas Snowden ça devrait aller. Après ce n’est bien sûr pas la seule.


Tu peux utiliser une génération qui ne se reverse pas si facilement. Comme celle proposée par TheBlackPearl ;)








Arnaud3013 a écrit :



Tu utillises une règle de génération qui donne des password unique. Pas besoin de les retenir, juste l’algo de creation.





Pas toujours possible il y a des sites chiants qui t’imposent un certain type de mot de passe, qui peut ne pas être conforme avec ta méthode. Et c’est sans compter les banques qui ont cette manie de vouloir te faire taper un code à la souris. De plus il faut aussi se souvenir de l’identifiant, et quand tu n’as pas été sur un site depuis 1 an c’est difficile (par exemple les impots).



Perso je préfère keepass, sans intégration au navigateur, y’a pas besoin.



C’est bien joli tout ça mais quid des sites qui limitent (trop) la liste des caractères utilisables !


Merci pour le lien direct pour firefox, car le module proposé par la voie “standard” est absolument pas à jour :/.


Justement, je me suis toujours demandé si les hackers iraient aussi loin. S’ils trouvent ton mot de passe, il est perdu parmi des milliers ou millions d’autres, et ils doivent éventuellement uniquement se contenter de réutiliser ce mot de passe et l’email associé sur d’autres sites pour récupérer plus de données. Mais je ne pense pas qu’ils aillent jusqu’à décortiquer ta régle simple de génération de mot de passe pour extrapoler d’autres mots de passes sur d’autres sites. Ils ont trop de données à gérer.


Keepass pour moi








Altair31 a écrit :



C’est bien joli tout ça mais quid des sites qui limitent (trop) la liste des caractères utilisables !





ça peut se compenser en ajoutant des caractères à ton mot de passe ?

Pour moi le pire c’est de limiter non pas les caractères utilisables, mais la taille des mots de passe eux mêmes.

Et, même encore en 2016, des sites marchands te renvoient ton mdp en clair dans un mail de confirmation d’inscription…

Pour mes mdp courant j’utilise keepass/keefox sur Windows, et keepassx sur linux, avec le même fichier de base.

Et pour les sites les plus sensibles, j’ai retenu une liste de mots aléatoires avec la méthode diceware, en y ajoutant des caractères de mon cru (sans lien avec des données personnelles). Et même après une période sans utilisation, la liste de mots se retient facilement quand on l’a construite soi-même.



Tout dépend de ce qu’ils ciblent. Dans une pêche au gros (grosse db d’un site, phising de masse) ils ne vont pas spécialement chercher, par contre si c’est plus ciblé contre toi/un groupe auquel tu appartiens là oui, de fortes chances qu’ils l’analysent un peu et déduisent rapidement tes autres passwords.

Après, si tu en es au stade où des blacks hats réputés/des agences gouvernementales en ont spécifiquement après toi, il vaut mieux que tes données sensibles ne soient pas protégées par un seul password généré facilement avec une “règle”&nbsp;<img data-src=" />


Le topic en question donne une réponse à cette question. Après à toi de voir si ça te va. ^^


Il n’y a clairement pas de solution idéale.

Les gestionnaires de mots de passe ne sont pas parfaits, mais ils sont un moindre mal (en tout cas, toujours mieux que d’utiliser le même mot de passe partout, ce que font 90% des gens).








Wikus a écrit :



Si tu utilise “motdepasse” comme mot de passe pour tous tes logins, effectivement c’est la meilleure solution. <img data-src=" />





Ça fait presque 20 ans que j’ai des mots de passe assez simples (pas non plus 123456 ni bonjour hein…) et je n’ai jamais eu aucun problème. Alors que je suis pourtant du genre parano et j’ai une installation windows largement mieux sécurisée que la moyenne.



Donc l’intérêt d’avoir un mot de passe de 20 ou 30 caractères aléatoires avec tout un tas de signes bizarre? Aucun….









jeje07bis a écrit :



Ça fait presque 20 ans que j’ai des mots de passe assez simples (pas non plus 123456 ni bonjour hein…) et je n’ai jamais eu aucun problème. Alors que je suis pourtant du genre parano et j’ai une installation windows largement mieux sécurisée que la moyenne.



Donc l’intérêt d’avoir un mot de passe de 20 ou 30 caractères aléatoires avec tout un tas de signes bizarre? Aucun….





Je n’ai aucun problème avec ça. J’ai longtemps utilisé des mots de passe relativement simples et souvent le même pour plusieurs sites. Sauf que la sécurité de tes comptes, de tes informations personnelles, ne dépendent pas uniquement de ton installation, mais aussi (surtout ?) des services que tu utilise.

Après, je ne suis en rien un expert en la matière. Je suis juste devenu un peu plus parano ces dernières années… <img data-src=" />









jeje07bis a écrit :



Ça fait presque 20 ans que j’ai des mots de passe assez simples (pas non plus 123456 ni bonjour hein…) et je n’ai jamais eu aucun problème. Alors que je suis pourtant du genre parano et j’ai une installation windows largement mieux sécurisée que la moyenne.



Donc l’intérêt d’avoir un mot de passe de 20 ou 30 caractères aléatoires avec tout un tas de signes bizarre? Aucun….





Si les gens qui louent des serveurs chez 1&1 sans aucune compétence d’administration système Linux pouvait mettre des mot de passe de 40 caractère aléatoires avec des caractères spéciaux ça limiterait sûrement le nombre de relais à merde qui apparaissent dans mes log.

Je vais finir par black lister tout simplement poney.telecom



Donc mettre tous œufs dans le même panier c’est pas bien.

Personnellement je n’ai pas les compétences pour auditer le code d’un gestionnaire libre. Or on sait que même quand c’est libre et largement utilisé ça peut contenir des failles. Donc je ne fais pas confiance. Idem pour les gestionnaires non libres.



Ça fait quelques temps que j’essaie de me&nbsp; motiver à créer un algo perso pour mes mdp afin qu’ils soient uniques par site. Mais la grosse inconnue qui me bloque c’est les prérequis des différents site.

Il me semble avoir été confronté à des sites qui limitent le nombre de caractères possibles. Ça vous arrive aussi ?



Y’a quelques site où je réinitialise mon mdp à chaque fois que je dois y aller parce qu’ils ont un prérequis particulier ([fake]exemple au moins 4 majuscules et 3 chiffres), dont je ne me souviens jamais.


Ouais, mais on ne s’appelle pas Snowden ici, donc on n’est pas trop des cibles de choix.


Deux vidéos interessantes sur le sujet :

Le crackage des mots de passe (l’attaque rainbow table m’a mis froid dans le dos, utilisant un algo de génération de mot de passe assez simple depuis quelques années qui pourrait se faire péter au vu des mots de passes qui reviennent ici) :&nbsphttps://www.youtube.com/watch?v=7U-RbOKanYs

Une idée pour la génération des mots de passes :&nbsphttps://www.youtube.com/watch?v=3NjQ9b3pgIg



J’utilisais keepass depuis longtemps, j’ai migré vers 1password récemment.








jeje07bis a écrit :



Donc l’intérêt d’avoir un mot de passe de 20 ou 30 caractères aléatoires avec tout un tas de signes bizarre? Aucun….





Sans aller jusque là, les site qui restreignent le nombre de caractères et la longueur du mdp empêchent d’avoir une règle universelle. Et là les emmerdes commencent.

&nbsp;









Charly32 a écrit :



Sans aller jusque là, les site qui restreignent le nombre de caractères et la longueur du mdp empêchent d’avoir une règle universelle. Et là les emmerdes commencent.

&nbsp;





Les banques étant le top du top avec 6 chiffres seulement comme mot de passe…, ou le site ameli.fr qui ne veut que des chiffres (8 max je crois)…



Bien sur, mais entre Snowden et les bases de données qui fuitent genre Ashley Madison,&nbsp;il y a l’entre deux, tu peux faire partie d’un groupe qui se retrouve ciblé, si par exemple tu as un linkedin à jour/cv en ligne et qu’il y est écrit que tu dev pour telle société, tu peux être une cible d’espionnage industriel de la part de la concurrence.

Même si la DGSI/NSA/GCHQ et consorts n’ont pas grand chose à faire de nous, certaines de nos données peuvent avoir de l’importance pour quelqu’un d’autre (Sans parler du cas de figure où &nbsp;la cible peut être un de tes contacts, et étant moins sécurisé qu’elle, ils peuvent essayer de passer par toi pour en apprendre plus sur elle).&nbsp;<img data-src=" />








eglyn a écrit :



Les banques étant le top du top avec 6 chiffres seulement comme mot de passe…, ou le site ameli.fr qui ne veut que des chiffres (8 max je crois)…





Exactement à ceux là que je pensais!

Ou Orange/SFR, qui ne veulent pas de caractères spéciaux…



Tu peux toujours être une cible, ça dépend plutôt de qui est intéressé.

On prend toujours l’exemple des gouvernements car c’est l’exemple classique de celui qui a des moyens et capable de le faire en masse.



Faut pas oublier d’autres types d’attaquants : patron trop curieux, ex-petite amie,…

Eux n’ont p-ê pas des grands moyens d’attaques, mais le social engineering peut les aider à trouver et faire du dégât bien plus ciblés sur d’autres plans une fois qu’un de tes pass est connu.


Pour le moment les quelques soucis de sécurité rencontré par LastPass ne méritent pas encore que je remette en question cet outil.

Il est quand même fichtrement bien pratique avec l’application mobile….


Le papier et le crayon, on le dira jamais assez , ‘y a que l’attaque physique qui permet à quelqu’un d’y avoir accès. Zéro risque de vol à distance de ton ‘gestionnaire’ et en cas de trou de mémoire ça marche aussi bien que le reste. :)


Keepass sur un Gdrive ici.

Entre&nbsp; les mdp persos et ceux du boulot, avec les règles sur les caractères, que j’essaie qu’ils soient vaguement différents et le fait que certains doivent être changer trop régulièrement, c’est impossible de se souvenir de tout.



Bravo à ceux qui y arrivent.








shadowfox a écrit :



Le papier et le crayon, on le dira jamais assez , ‘y a que l’attaque physique qui permet à quelqu’un d’y avoir accès. Zéro risque de vol à distance de ton ‘gestionnaire’ et en cas de trou de mémoire ça marche aussi bien que le reste. :)





Et en plus en cas de décès ça permet au proches d’avoir accès aux comptes.



Toi aussi lègue ton compte youporn à tes proches !



Pas sûr que ça soit un argument qui porte. <img data-src=" />


Pas vraiment car certains sites ne supportent même pas l’alpha numérique (ameli.fr pour ne citer que celui-là), certain ont un nombre min/max de caractères. Bref, si tu ne te rappelles pas des spécificités de chaque site, t’es mort !


Je ne vois pas l’intérêt d’avoir un mot de passe différent pour chaque site marchand, vu qu’aucun site marchand sérieux ne stocke le moyen de paiement.

Et quand c’est quand même le cas (genre Amazon…), il suffit de supprimer la CB après chaque commande.



Pareil pour les sites genre forum où le seul risque est de se faire voler son pseudo. A part nuire à la réputation de quelqu’un (si celle-ci n’est pas déjà pourrie <img data-src=" />), l’intérêt est nul.



Le reste, c’est les sites administratifs qui ont pour la plupart des prérequis particuliers.


Je suis passé de LastPass vers Keepass y’a a peu près 6 mois, et je ne regrette vraiment pas.

Le seul problème que j’ai, c’est la synchro avec les appareils mobiles…



Autant sur PC, je mets le logiciel sur OneDrive, comme ça, je peux l’utiliser sans problème de chez moi, et du boulot sans problèmes (et en même temps, je ne me prends plus la tête avec les clés SSH), autant sur mobile, c’est plus compliqué… Parce que d’une part, j’ai pas trouvé de bonnes applications qui utilise OneDrive sur iOS, et d’autre part, j’utilise une authentification à facteurs multiples, avec un dongle de sécurité physique, et ça, bah, sur mobile, ça passe moins bien.



J’ai bien pensé à utiliser une base fixe, en lecture/écriture, et une autre, qui ne serait utilisée qu’en lecture, sur le mobile, mais on peut pas synchroniser deux bases Keepass qui n’ont pas la même clé composée <img data-src=" />








shadowfox a écrit :



Le papier et le crayon, on le dira jamais assez , ‘y a que l’attaque physique qui permet à quelqu’un d’y avoir accès. Zéro risque de vol à distance de ton ‘gestionnaire’ et en cas de trou de mémoire ça marche aussi bien que le reste. :)







Et rien n’empêche de rajouter des caractères dans le tas pour pas qu’un intrus puisse s’y retrouver, genre : ignorer les caractères 1 5 9 et n-1 du nombre de caractères du site…



Moi si.

2 ou 3 fois, et je n’ai aucune idée de comment ils ont pu trouver ces mdp.



It happens.



(pour info une dizaines de caractères , 1 signe et 2 chiffres c’est mon mdp le plus compliqué. Rien de traumatisant à utiliser ;) )


J’en ai eu un qui m’avais envoyé mon mdp dans le mail de confirmation du compte.

Je me suis aussitôt désinscrit en leur demandant par mail de tout supprimer de leur base.


que des chiffres… tu veux dire le genre de règle qui finit par mettre sa date de naissance / de mariage en mot de passe?


Idem de mon coté

Quand on voit les tweets de Tavis Ormandy, on voit quand même qu’il s’attaque à tout un tas d’applis dont il remet en cause leur invulnérabilité, souvent avec un ton moqueur (ça n’empeche, il a l’air sacrément bon).

Dans les tweet, il y a une réponse de Mathias Karlsson qui indique qu’il a réussi la manip de son coté.

https://labs.detectify.com/2016/07/27/how-i-made-lastpass-give-me-all-your-passw…

Il indique tout de meme “Also, this would not work if multi factor authentication was on, so you should probably enable that as well.”

Donc c’est quand même un point a prendre en compte dans les éléments de sécurité dispo.


Dans lastpass, il y a une option nommée LastPass Emergency Access

https://blog.lastpass.com/2016/07/how-to-get-started-with-lastpass-emergency-acc…

C’est assez récent, ça peut être intéressant comme option dans le cas que tu site


Tiens c’est pas bête comme idée, je prends.&nbsp;<img data-src=" />


Bel exemple de sophisme <img data-src=" />


Perso, j’utilise Encryptr pour me rappeler de mes mdps sur un pc non connecté.

Et pour les besoins de tous les jours, j’ai un simple fichier texte chiffré avec ccrypt, lui-même dans un conteneur Truecrypt (qu’il faut que je change pour Vera d’ailleurs). Le tout sur une clé USB qui ne me quitte jamais quand je suis à l’extérieur.


Idem, j’ai migré de LastPass à KeePass quand LastPass s’est fait bouffer par LogMeIn (je n’ai aucune confiance en ces types).

Et à part la mise en place un peu plus complexe (comme créer une règle pour que le fichier soit enregistré automatiquement à chaque changement… ils n’auraient pas juste pu faire une option pour ça ?), je ne regrette pas ce choix.



Et pour la synchro avec Android, Keepass2Android (avec le fichier synchronisé sur un Dropbox en double authentification) fait très bien le boulot.








Ruzgfpegk a écrit :



Idem, j’ai migré de LastPass à KeePass quand LastPass s’est fait bouffer par LogMeIn (je n’ai aucune confiance en ces types).

Et à part la mise en place un peu plus complexe (comme créer une règle pour que le fichier soit enregistré automatiquement à chaque changement… ils n’auraient pas juste pu faire une option pour ça ?), je ne regrette pas ce choix.



Et pour la synchro avec Android, Keepass2Android (avec le fichier synchronisé sur un Dropbox en double authentification) fait très bien le boulot.







J’utilise aussi KeePass avec fichier de clé + passphrase. Le fichier de clé uniquement sur les end-devices et le fichier de stockage sur un bête Dropbox.



J’ai pas confiance dans l’intégration des navigateurs. Je ne suis pas assez expert pour juger l’étanchéité entre le navigateur et les plugins, sachant que tout est Javascript. Donc un bon KeePass qui simule une frappe clavier me convient très bien.



Le bonus sur KeePass, c’est de pouvoir stocker des fichiers. Comme les certificats des impôts par exemple ou dès clé privée …



Je vous conseille plutôt Roboform c’est un des logiciels les plus anciens donc l’un des plus sûrs.

Normalement Roboform EveryWhere est payant mais il y a très souvent un an offert donc en surveillant bien les promos on ne paie jamais.


J’aurai du le faire depuis longtemps: clôturer lastpass pour me forcer à utiliser keepassx (sous linux, sans framework mono), chose faite aujourd’hui.

Pour la synchro, on verra plus tard, même si je note les idées données plus haut :)


Dans tous les cas, les deux parties s’accordent sur un point : la faille est bouchée et la mise à jour est en train d’être déployée. L’extension pour Firefox passe ainsi en version 4.1.21a.

Pourquoi j’ai la version 4.1.23a sous firefox ?