La faille détectée dans l’extension LastPass pour Firefox la semaine dernière a fait des petits. Le chercheur Tavis Ormandy, à l’origine de la découverte, a même détecté dans la dernière révision de l’extension Chrome une variante de la vulnérabilité. Il n’y a pour l’instant pas de mise à jour.
Rappel des faits. La semaine dernière, le chercheur Tavis Ormandy de chez Google découvrait une faille dans l’extension Firefox de LastPass. L’éditeur avait déjà très vite réagi, constatant le fonctionnement de la brèche, reconnaissant le danger et proposant une nouvelle version dans la foulée.
Au cours des 24 heures suivantes, LastPass a indiqué que les autres extensions étaient également concernées, puisque la faille était liée à des fonctions expérimentales présentes partout. La variante Chrome a donc été mise à jour dans la foulée, tandis que celles pour Opera et Edge sont toujours en attente.
Une faille « sophistiquée » dans l'extension Chrome
Dans un billet publié hier, LastPass avertit cependant qu’il y aura d’autres mises à jour à prévoir, au moins pour l’extension Chrome. Tavis Ormandy a en effet eu une « épiphanie » en prenant sa douche samedi : il a trouvé comment entrainer une exécution de code dans la version 4.1.43 de LastPass dans le navigateur de Google, la dernière version publiée en fin de semaine dernière, censée corriger la première faille.
Dans son billet de blog, LastPass indique que l’attaque qui exploiterait la nouvelle faille est « unique et hautement sophistiquée ». Ce qui explique l’absence presque totale d’informations, tant du côté de l’éditeur que de Tavis Ormandy. La moindre révélation d’un détail pourrait permettre à des individus mal intentionnés de découvrir la piste vers la faille, même pour des groupes moins sophistiqués.
LastPass donne quelques conseils en attendant
Actuellement, aucune nouvelle version de l’extension n’est proposée, LastPass travaillant sur le sujet. Aucune attaque ne semble pour autant avoir lieu sur la base de ces informations, comme la première faille détectée la semaine dernière.
Cependant, au vu du danger potentiel, LastPass recommande plusieurs points. D’une part, faire attention aux liens « louches », un conseil finalement valable à peu près tout le temps. D’autre part, activer l’authentification à deux facteurs sur l’ensemble des services qui en disposent. Là encore, la recommandation est finalement assez globale : cette fonctionnalité devrait toujours être activée, même hors de toute situation particulière.
Enfin, et c’est sans doute le plus important, LastPass aimerait que les utilisateurs lancent leurs sites depuis le Coffre-fort, c’est-à-dire depuis la zone sécurisée de stockage des mots de passe. L’éditeur n’explique pas vraiment pourquoi, mais ajoute qu’il s’agit du moyen le plus sûr pour accéder à ses identifiants. En attendant, prudence donc.
Deuxième faille en une semaine
On ajoutera que ce type de problème ne peut qu’abimer la réputation d’un gestionnaire de mots de passe, surtout dans le cadre d’une offre synchronisée, les données étant stockées sur des serveurs. Cependant, les failles surviennent régulièrement dans bon nombre de produits.
Pour l’instant, LastPass s’est montré très réactif – recevant au passage les louages du chercheur en sécurité – il faut donc espérer que la nouvelle faille recevra rapidement une réponse.
