La faille détectée dans l’extension LastPass pour Firefox la semaine dernière a fait des petits. Le chercheur Tavis Ormandy, à l’origine de la découverte, a même détecté dans la dernière révision de l’extension Chrome une variante de la vulnérabilité. Il n’y a pour l’instant pas de mise à jour.
Rappel des faits. La semaine dernière, le chercheur Tavis Ormandy de chez Google découvrait une faille dans l’extension Firefox de LastPass. L’éditeur avait déjà très vite réagi, constatant le fonctionnement de la brèche, reconnaissant le danger et proposant une nouvelle version dans la foulée.
Au cours des 24 heures suivantes, LastPass a indiqué que les autres extensions étaient également concernées, puisque la faille était liée à des fonctions expérimentales présentes partout. La variante Chrome a donc été mise à jour dans la foulée, tandis que celles pour Opera et Edge sont toujours en attente.
Une faille « sophistiquée » dans l'extension Chrome
Dans un billet publié hier, LastPass avertit cependant qu’il y aura d’autres mises à jour à prévoir, au moins pour l’extension Chrome. Tavis Ormandy a en effet eu une « épiphanie » en prenant sa douche samedi : il a trouvé comment entrainer une exécution de code dans la version 4.1.43 de LastPass dans le navigateur de Google, la dernière version publiée en fin de semaine dernière, censée corriger la première faille.
Dans son billet de blog, LastPass indique que l’attaque qui exploiterait la nouvelle faille est « unique et hautement sophistiquée ». Ce qui explique l’absence presque totale d’informations, tant du côté de l’éditeur que de Tavis Ormandy. La moindre révélation d’un détail pourrait permettre à des individus mal intentionnés de découvrir la piste vers la faille, même pour des groupes moins sophistiqués.
LastPass donne quelques conseils en attendant
Actuellement, aucune nouvelle version de l’extension n’est proposée, LastPass travaillant sur le sujet. Aucune attaque ne semble pour autant avoir lieu sur la base de ces informations, comme la première faille détectée la semaine dernière.
Cependant, au vu du danger potentiel, LastPass recommande plusieurs points. D’une part, faire attention aux liens « louches », un conseil finalement valable à peu près tout le temps. D’autre part, activer l’authentification à deux facteurs sur l’ensemble des services qui en disposent. Là encore, la recommandation est finalement assez globale : cette fonctionnalité devrait toujours être activée, même hors de toute situation particulière.
Enfin, et c’est sans doute le plus important, LastPass aimerait que les utilisateurs lancent leurs sites depuis le Coffre-fort, c’est-à-dire depuis la zone sécurisée de stockage des mots de passe. L’éditeur n’explique pas vraiment pourquoi, mais ajoute qu’il s’agit du moyen le plus sûr pour accéder à ses identifiants. En attendant, prudence donc.
Deuxième faille en une semaine
On ajoutera que ce type de problème ne peut qu’abimer la réputation d’un gestionnaire de mots de passe, surtout dans le cadre d’une offre synchronisée, les données étant stockées sur des serveurs. Cependant, les failles surviennent régulièrement dans bon nombre de produits.
Pour l’instant, LastPass s’est montré très réactif – recevant au passage les louages du chercheur en sécurité – il faut donc espérer que la nouvelle faille recevra rapidement une réponse.
Commentaires (27)
#1
Mais du coup, on peut toujours prendre des douches ou pas ?
" />
Pas cool pour eux dans l’absolu (et pour les utilisateurs, pour le coup) mais très bonne réaction
#2
Mué c’est bien pour ce genre de choses que je ne fais pas confiance à un prestataire externes pour gérer mes mots de passe. 
" />
#3
Les autres coffre-fort ont peut-être + de failles mais ne communiquent pas dessus donc c’est courageux de leur part d’en parler volontairement !
#4
La faille porte sur quoi exactement? Code distant? Acces a la machine?
#5
Finalement, je préfère utiliser ma mémoire, pour l’instant, on peut pas la pirater à distance… :/
#6
c’est un luxe que certains ne peuvent se permettre. ^^
" />
enfin pas moi en tout cas.
#7
Relis la news, tu auras la réponse. 
" />
#8
Un papier sur le bureau, surtout chez soi ca reste assez sur. Même en cas de cambriolage il y a peu de chance qu’ils ouvrent les cahiers sur le bureau à la recherche de mot de passe :p.
#9
sinon il y a le papier dans une belle cachette physique.
ou alors mots de passes fondus dans des agenda, voire calendrier, ou d’autre impressions dans le genre…
#10
ca c’est sur, mais niveau portabilité on est un peu a zéro.
a partir du moment que l’on est pas chez soit, et que l’on en a besoin, il faut un minimum pour le cacher…
#11
#12
Les meilleurs endroits pour stocker son mot-de-passe:
Personne ne se doutera jamais que vous utilisez l’un de ces endroits.
Et personne ne cherche des failles dans ces endroits.
#13
https://bitwarden.com/
" />
#14
portabilité 0?
" />
J’ai dit sur une feuille, pas gravé sur une enclume
#15
Le cloud, caybonmangezen !
" />
Moi je reste avec mon keepass et son fichier local hein
#16
LastPassoire :)
pardon c’était trop facile
#17
#18
Lu, et la news dit en gros qu’on ne sait rien. Mais je ne savais pas si le rien est vraiment rien, ou si on ne sait pas toutes les manips (raison de securite), mais on sait si ca passe par chrome via un site web, ou via chrome avec acces a la machine
#19
Et c’est Localhost.local ton site de mdp ?
=======> []
#20
#21
oui mais non.
" />
j’ai besoin d’un truc accessible de partout.
du coup keepass et keepass2android.
#22
wow, j’en suis pas à ce niveau là quand même. ^^
#23
du coup quand tu changes de mot de passe, tu barres et tu écris à côté? ^^
franchement keepass avec le renseignement automatique c’est vachement plus pratique.
ctrl+alt+A et c’est réglé.
#24
723 dans mon keepass pro, par contre pour le perso c’est “uniquement” 70, tous uniques donc la mémoire …
#25
Pendant ce temps là, y’en a qui continuent sans mot de passe
http://info.publicintelligence.net/FBI-PHI-FTP.pdf
#26
#27
Depuis peu je sauvegarde mes mdp sur un conteneur chiffré avec Veracrypt sur une clé USB + autre backup chiffrée.