Coup sur coup, deux importantes failles de sécurité ont été signalées pour le gestionnaire de mots de passe LastPass. La première a plus d'un an et concernait tous les navigateurs, tandis que la seconde date d'hier et ne touche que l'extension Firefox. Elles sont toutes les deux bouchées.
LastPass est une application qui permet de centraliser et de sécuriser l'ensemble de vos mots de passe. Elle propose des extensions pour les principaux navigateurs et peut remplir automatiquement les champs d'identification pour vous simplifier la tâche. Autant dire que les données que contient ce gestionnaire de mots de passe sont extrêmement sensibles. Or, hier, deux importantes failles de sécurité sont remontées à la surface.
En l'espace de quelques heures, deux failles critiques sont annoncées
Tout a commencé par un tweet plutôt inquiétant de Tavis Ormandy, un chercheur en sécurité qui fait partie du Projet Zero de Google. Il explique qu'après « avoir jeté un coup d'œil », il remarque « tout un tas de problèmes critiques évidents », sans donner plus de détails sur les tenants et les aboutissants de cette affaire. Quelques heures plus tard, un rapport est envoyé à LastPass et Ormandy ajoute que les équipes de LastPass travaillent à la résolution des problèmes indiqués.
Encore quelques heures plus tard, Mathias Karlsson publie un tweet où il explique que, lui aussi, il a « piraté LastPass » avec un lien vers un billet de blog au titre explicite et inquiétant : « Comment j'ai fait pour que LastPass me donne tous vos mots de passe ». Pour résumer, cette brèche permettait d'extraire les mots de passe proposés par la fonction de remplissage automatique des formulaires.
L'astuce : en intégrant le nom de domaine du site à mimer dans l'adresse du site de phishing (par exemple « http://www.sitedephishing.com/@twitter.com »), l'extension croyait arriver directement sur le site légitime, ici twitter.com. Elle remplissait donc les champs d'identification sans s'inquiéter.
LastPass s'explique : l'une est corrigée depuis plus d'un an, l'autre est récente
Face à cette déferlante, il n'aura pas fallu attendre longtemps pour que LastPass sorte du bois afin de s'expliquer. L'équipe indique tout d'abord que la faille détectée par Mathias Karlsson lui a été « responsablement remontée » il y a plus d'un an, et que « tous les clients des navigateurs ont été mis à jour » à ce moment-là. « En moins d'un jour » ajoute le chercheur, qui précise avoir obtenu une récompense de 1 000 dollars.
Concernant la faille remontée par le chercheur de chez Google, LastPass précise que cela ne concerne que l'extension pour Firefox dans sa version 4.x, et que cette mouture n'est distribuée que via le site de LastPass pour le moment. En effet, en passant par le magasin d'extensions de Firefox, c'est encore la version 3.3.1 qui est proposée à l'heure actuelle. Selon l'éditeur, elle n'est pas vulnérable à cette brèche de sécurité.
Tavis Ormandy a dévoilé les détails de la faille par ici. Si LastPass reste très évasif en indiquant qu'il est possible « d'exécuter des actions LastPass en arrière-plan à l'insu de l'utilisateur, telle que la suppression de certains éléments », le chercheur de chez Google est bien plus incisif et donne de nombreux détails : « un attaquant peut créer et supprimer des fichiers, exécuter des scripts, voler les mots de passe, connecter les victimes à leur propre compte LastPass de manière à ce qu'ils puissent récupérer tout ce qui est sauvegardé de nouveau, etc, etc. ».
Here are the details of the vulnerability I reported https://t.co/2fWFyBFzUm https://t.co/3HaEQRJEqa
— Tavis Ormandy (@taviso) 28 juillet 2016
Extension pour Firefox : désaccord sur les détails de l'exploitation, un correctif disponible
LastPass précise ensuite qu'un pirate a besoin d'attirer sa victime sur un site malveillant afin d'exploiter cette faille, ce que réfute catégoriquement Tavis Ormandy : « En fait, aucune des attaques décrites ne nécessite du phishing. Je suppose que le billet de blog a été écrit par quelqu'un qui ne connaît pas le terme phishing ».
Dans tous les cas, les deux parties s'accordent sur un point : la faille est bouchée et la mise à jour est en train d'être déployée. L'extension pour Firefox passe ainsi en version 4.1.21a. Si vous ne voulez pas attendre que la mise à jour soit proposée par Firefox, vous pouvez directement la récupérer par ici.