Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

LastPass : nouvelle faille de sécurité, cette fois dans l'extension Chrome

Pas de mise à jour pour l'instant
Internet 3 min
LastPass : nouvelle faille de sécurité, cette fois dans l'extension Chrome
Crédits : hanieriani/iStock

La faille détectée dans l’extension LastPass pour Firefox la semaine dernière a fait des petits. Le chercheur Tavis Ormandy, à l’origine de la découverte, a même détecté dans la dernière révision de l’extension Chrome une variante de la vulnérabilité. Il n’y a pour l’instant pas de mise à jour.

Rappel des faits. La semaine dernière, le chercheur Tavis Ormandy de chez Google découvrait une faille dans l’extension Firefox de LastPass. L’éditeur avait déjà très vite réagi, constatant le fonctionnement de la brèche, reconnaissant le danger et proposant une nouvelle version dans la foulée.

Au cours des 24 heures suivantes, LastPass a indiqué que les autres extensions étaient également concernées, puisque la faille était liée à des fonctions expérimentales présentes partout. La variante Chrome a donc été mise à jour dans la foulée, tandis que celles pour Opera et Edge sont toujours en attente.

Une faille « sophistiquée » dans l'extension Chrome 

Dans un billet publié hier, LastPass avertit cependant qu’il y aura d’autres mises à jour à prévoir, au moins pour l’extension Chrome. Tavis Ormandy a en effet eu une « épiphanie » en prenant sa douche samedi : il a trouvé comment entrainer une exécution de code dans la version 4.1.43 de LastPass dans le navigateur de Google, la dernière version publiée en fin de semaine dernière, censée corriger la première faille.

Dans son billet de blog, LastPass indique que l’attaque qui exploiterait la nouvelle faille est « unique et hautement sophistiquée ». Ce qui explique l’absence presque totale d’informations, tant du côté de l’éditeur que de Tavis Ormandy. La moindre révélation d’un détail pourrait permettre à des individus mal intentionnés de découvrir la piste vers la faille, même pour des groupes moins sophistiqués.

LastPass donne quelques conseils en attendant

Actuellement, aucune nouvelle version de l’extension n’est proposée, LastPass travaillant sur le sujet. Aucune attaque ne semble pour autant avoir lieu sur la base de ces informations, comme la première faille détectée la semaine dernière.

Cependant, au vu du danger potentiel, LastPass recommande plusieurs points. D’une part, faire attention aux liens « louches », un conseil finalement valable à peu près tout le temps. D’autre part, activer l’authentification à deux facteurs sur l’ensemble des services qui en disposent. Là encore, la recommandation est finalement assez globale : cette fonctionnalité devrait toujours être activée, même hors de toute situation particulière.

Enfin, et c’est sans doute le plus important, LastPass aimerait que les utilisateurs lancent leurs sites depuis le Coffre-fort, c’est-à-dire depuis la zone sécurisée de stockage des mots de passe. L’éditeur n’explique pas vraiment pourquoi, mais ajoute qu’il s’agit du moyen le plus sûr pour accéder à ses identifiants. En attendant, prudence donc.

Deuxième faille en une semaine

On ajoutera que ce type de problème ne peut qu’abimer la réputation d’un gestionnaire de mots de passe, surtout dans le cadre d’une offre synchronisée, les données étant stockées sur des serveurs. Cependant, les failles surviennent régulièrement dans bon nombre de produits.

Pour l’instant, LastPass s’est montré très réactif – recevant au passage les louages du chercheur en sécurité – il faut donc espérer que la nouvelle faille recevra rapidement une réponse.

27 commentaires
Avatar de WereWindle INpactien
Avatar de WereWindleWereWindle- 28/03/17 à 13:18:12

Mais du coup, on peut toujours prendre des douches ou pas ?

Pas cool pour eux dans l'absolu (et pour les utilisateurs, pour le coup) mais très bonne réaction :yes:

Avatar de CreaYouz INpactien
Avatar de CreaYouzCreaYouz- 28/03/17 à 13:23:25

Mué c'est bien pour ce genre de choses que je ne fais pas confiance à un prestataire externes pour gérer mes mots de passe.  :fumer:

Avatar de Nico4271 INpactien
Avatar de Nico4271Nico4271- 28/03/17 à 13:27:44

Les autres coffre-fort ont peut-être + de failles mais ne communiquent pas dessus donc c'est courageux de leur part d'en parler volontairement !

Avatar de frscot INpactien
Avatar de frscotfrscot- 28/03/17 à 13:47:29

La faille porte sur quoi exactement? Code distant? Acces a la machine?

Avatar de shadowfox INpactien
Avatar de shadowfoxshadowfox- 28/03/17 à 13:51:39

Finalement, je préfère utiliser ma mémoire, pour l'instant, on peut pas la pirater à distance... :/

Avatar de hellmut Abonné
Avatar de hellmuthellmut- 28/03/17 à 13:54:12

c'est un luxe que certains ne peuvent se permettre. ^^
enfin pas moi en tout cas.:transpi:

Avatar de Haken Trigger Abonné
Avatar de Haken TriggerHaken Trigger- 28/03/17 à 14:00:43

Relis la news, tu auras la réponse. :D

Avatar de Krogoth Abonné
Avatar de KrogothKrogoth- 28/03/17 à 14:01:06

Un papier sur le bureau, surtout chez soi ca reste assez sur. Même en cas de cambriolage il y a peu de chance qu'ils ouvrent les cahiers sur le bureau à la recherche de mot de passe :p.

Avatar de cemoi71 INpactien
Avatar de cemoi71cemoi71- 28/03/17 à 14:10:21

sinon il y a le papier dans une belle cachette physique.
 ou alors mots de passes fondus dans des agenda, voire calendrier, ou d'autre impressions dans le genre...

Avatar de cemoi71 INpactien
Avatar de cemoi71cemoi71- 28/03/17 à 14:12:41

ca c'est sur, mais niveau portabilité on est un peu a zéro.
a partir du moment que l'on est pas chez soit, et que l'on en a besoin, il faut un minimum pour le cacher...

Il n'est plus possible de commenter cette actualité.
Page 1 / 3
  • Introduction
  • Une faille « sophistiquée » dans l'extension Chrome 
  • LastPass donne quelques conseils en attendant
  • Deuxième faille en une semaine
S'abonner à partir de 3,75 €