Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
LastPass pouvait laisser fuiter le dernier mot de passe utilisé

La vulnérabilité a été découverte par Tavis Ormandy, chercheur en sécurité membre du programme Project Zero de Google.

Elle résidait dans l’extension pour les navigateurs. Celle-ci, plutôt que d’utiliser la méthode do_popupregister(), se servait de la dernière valeur en cache, via ftd_get_frameparenturl().

Il devenait en théorie possible pour un site frauduleux de créer un iframe lié au fichier popupfilltab.html de LastPass et d’y afficher le dernier mot de passe utilisé. La faille a été signalée confidentiellement à LastPass, qui l’a rapidement corrigée.

Dans un billet publié vendredi, l’éditeur explique qu’il fallait un lot de circonstances bien particulier pour exploiter la brèche, limitant son impact potentiel. Il dit ne pas être au courant d’une quelconque exploitation. Les détails, eux, ont été publiés dimanche par Ormandy.

Une nouvelle version 4.33 de LastPass a été distribuée à l’ensemble des boutiques d’extensions pour les navigateurs. Mieux vaut donc contrôler que vous êtes à jour, même si les extensions sont en théorie automatiquement remplacées quand une nouvelle version est publiée. Les applications mobiles ne sont pas concernées.

Rappelons que les gestionnaires de mots de passe sont des outils pratiques, mais ne représentent pas l’alpha et l’oméga de la sécurité. Ils permettent de stocker des centaines ou milliers de mots de passe, de créer de longues séquences aléatoires de caractères, tout en les rendant disponibles sur presque toutes les plateformes.

Mais en cas de problème de sécurité, cette base de données est en danger. Les mots de passe ne suffisent plus depuis longtemps. Sans remettre en cause ces outils bien pratiques, nous vous conseillons d’activer une protection supplémentaire comme l’authentification à deux facteurs, partout où c’est possible.

36 commentaires
Avatar de neo13006 INpactien
Avatar de neo13006neo13006- 17/09/19 à 08:26:36

Ironique vu le nom de l'outil :D

Avatar de Vekin Abonné
Avatar de VekinVekin- 17/09/19 à 08:32:09

C'était documenté de longue date, en effet :bravo:

Avatar de Se7en474 INpactien
Avatar de Se7en474Se7en474- 17/09/19 à 08:50:29

Je me pose une question, est-il possible qu'un site se fasse passer pour un autre aux yeux du gestionnaire de mot de passe ?
Pour un humain, il est possible de faire passer faceboook.com pour le site officiel, mais pour un programme, comment ça se passe ? avec un DNS menteur ?

Je pose la question parce que les gestionnaires de mdp se basent sur le nom de domaine renseigné pour remplir automatiquement les champs id/mdp sur le navigateur.

Édité par Se7en474 le 17/09/2019 à 08:52
Avatar de CryoGen Abonné
Avatar de CryoGenCryoGen- 17/09/19 à 10:00:23

Celà s’appuie, en général, sur l'url. Donc à moins que le site officiel oubli de renouveler son nom de domaine, on devrait être tranquille.

Ensuite, oui un DNS menteur pourrait du coup te faire rediriger vers une copie... mais si la copie est bien faite, gestionnaire ou non, la personne se fait avoir...

Avatar de Remi.ki INpactien
Avatar de Remi.kiRemi.ki- 17/09/19 à 10:21:04

Après il faut que tu ton serveur DNS soit compromis, faut y aller quand même ;)

ou un virus qui puisse modifier ton fichier HOST encore, c'est d’ailleurs je pense plus probable.

Édité par Remi.ki le 17/09/2019 à 10:21
Avatar de popi_le_clown Abonné
Avatar de popi_le_clownpopi_le_clown- 17/09/19 à 11:04:05

Se7en474 a écrit :
Je me pose une question, est-il possible qu'un site se fasse passer pour un autre aux yeux du gestionnaire de mot de passe ?
Pour un humain, il est possible de faire passer faceboook.com pour le site officiel, mais pour un programme, comment ça se passe ? avec un DNS menteur ?

Je pose la question parce que les gestionnaires de mdp se basent sur le nom de domaine renseigné pour remplir automatiquement les champs id/mdp sur le navigateur.

Un DNS menteur pourrait tenter de rediriger vers un faux site, mais normalement la connexion au formulaire se fait en https. J'espère ne pas dire de bêtise, mais mon gestionnaire de mot de passe ne remplit pas les champs sur un site http si on les a enregistrés avec du https (ie, le protocole fait partie de la reconnaissance du site). Cela signifie:

  • Créer un DNS menteur (et donc valable que sur un nombre restreint de personnes), ou  modifier le host comme mentionné plus haut
  • Créer une faux site suffisamment crédible (ou faire une passerelle)
  • Un des trois choix suivants:    - Créer un certificat validé par tes cibles (et donc que tes cibles aient validé une autorité de certification tierce)    - que l'utilisateur aille manuellement chercher les mots de passe dans son gestionnaire, puis remplisse les champs    - Que l'utilisateur clique sur "Je comprends les risques", après un nombre incalculables de pages et de liens disant "Attention, c'est dangereux", avec des couleurs et tout. De mon expérience, quand les utilisateurs rencontrent ce genre de pages, la plupart ferme l'onglet.    - Que ton site n'utilise pas https pour sa connexion (Pas bien)

Donc oui, en théorie c'est possible d'utiliser un DNS menteur, mais c'est de plus en plus compliqué avec les initiatives actuelles pour répandre le https.

Avatar de SartMatt Abonné
Avatar de SartMattSartMatt- 17/09/19 à 14:27:21

Et on peut aussi ajouter qu'avec le HSTS le propriétaire d'un site peut faire en sorte que l'accès en HTTP soit interdit, même si l'utilisateur tape vers un serveur différent à cause d'un DNS menteur.

Le HSTS peut empêcher :

  • de se connecter en HTTP à un domaine donné,
  • de se connecter en HTTPS à un domaine donné si le certificat n'est pas valide (et l'utilisateur ne peut pas mettre d'exception pour passer outre).

Il faut par contre que l'utilisateur soit allé au moins une fois sur le site légitime pour que son navigateur ait enregistré la politique HSTS du site (il y a aussi une liste de sites pour lesquels la politique HSTS est péchargée par le navigateur).

Édité par SartMatt le 17/09/2019 à 14:28
Avatar de squad INpactien
Avatar de squadsquad- 17/09/19 à 20:04:55

C'est pour ca qu'il ne faut jamais activer le remplissage automatique des mots de passe.

Avatar de Mithrill INpactien
Avatar de MithrillMithrill- 17/09/19 à 23:25:26

Ne jamais utiliser ce genre de gestionnaire, c'est juste la base... et toujours désactiver les mises à jours des modules par défaut... c'est un poil contraignant mais au moins on évite la plupart des merdes de ce genre.

Je viens de vérifier et sur mon Firefox ils ont fait un petit bordel d'ailleurs avec 1 choix inutile en menu pour choisir l'automatisme de ces mises à jour... à corriger !

Avatar de fofo9012 Abonné
Avatar de fofo9012fofo9012- 18/09/19 à 06:49:41

Les mots de passe ne suffisent plus depuis longtemps. Sans remettre en cause ces outils bien pratiques, nous vous conseillons d’activer une protection supplémentaire comme l’authentification à deux facteurs, partout où c’est possible.

Bah l'intérêt de ces outils est d'avoir un mdp complexe et différent sur chaque site.

Pour le double facteur rien ne permet de prédire si c'est réellement sécurisé : comment sont générés les codes de validations ? L'envoi de SMS est fiable ?
=> Bref faut faire confiance au site ET aux intermédiaires techniques.
=> si c'est par SMS je ne vois pas bien l'intérêt tu perds (on te vole) ton tel tu perds les deux facteurs d'un coup

Moi je dirais l'inverse, par sa complexité le double facteur donne une fausse impression de sécurité, les gens auront tendance à mettre un mot de passe plus simple en se pensant protéger par ce foutu code par SMS.

Là ou je vous rejoins est que le gestionnaire de mot de passe ne doit être ni cloudé, ni une extension de navigateur : c'est de la connerie pure et simple :)
Un bon vieux keepass + le gestionnaire de mot de passe du navigateur aura moins de risque (le gestionnaire du navigateur est plus bas niveau, donc plus difficile à berner). Un keepass peut facilement être synchronisé via un cloud si besoin.

Il n'est plus possible de commenter cette actualité.
Page 1 / 4