LastPass a corrigé hier une vulnérabilité dans son extension dédiée à Firefox. Elle a été découverte par le chercheur Tavis Ormandy de chez Google et permettait en théorie de dérober les identifiants des utilisateurs. Selon LastPass, elle n’a pas été exploitée.
LastPass est l’un des gestionnaires de mots de passe les plus utilisés. La sécurité y est prépondérante puisque le service stocke l’ensemble des identifiants d’un utilisateur, et propose de créer pour lui des mots de passe complexe, faisant appel au répertoire complet des caractères.
Lundi, le chercheur Tavis Ormandy a publié certaines informations sur une faille détectée dans l’extension Firefox. Exploitée, elle aurait pu permettre à un pirate de se faire passer pour un serveur de LastPass afin d’émettre des messages non authentifiés. Il aurait alors été en mesure de déclencher des commandes avec des privilèges élevés, y compris toutes celles ayant trait à la gestion des mots de passe, dont la copie et le remplacement.
Dans un billet publié hier soir, la société a indiquée avoir examiné la faille de près. La brèche a été confirmée et corrigée dans la foulée, l’éditeur recevant au passage les félicitations du chercheur « Si tous les éditeurs pouvaient être aussi réactifs ». Une nouvelle version de l’extension Firefox a été publiée et diffusée en mise à jour automatique pour les utilisateurs du navigateur. Point important, il n’est pas demandé de changer le moindre mot de passe, y compris celui protégeant le compte principal.
L’entreprise indique qu’il existait en fait plusieurs vulnérabilités, mais qu’elles étaient globalement toutes les mêmes, en fait des variations autour du même thème. Elle a également précisé qu’elles concernaient une fonctionnalité expérimentale de LastPass.