Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

LastPass : nouvelle faille de sécurité, cette fois dans l’extension Chrome

Pas de mise à jour pour l'instant

LastPass : nouvelle faille de sécurité, cette fois dans l'extension Chrome

Le 28 mars 2017 à 13h07

La faille détectée dans l’extension LastPass pour Firefox la semaine dernière a fait des petits. Le chercheur Tavis Ormandy, à l’origine de la découverte, a même détecté dans la dernière révision de l’extension Chrome une variante de la vulnérabilité. Il n’y a pour l’instant pas de mise à jour.

Rappel des faits. La semaine dernière, le chercheur Tavis Ormandy de chez Google découvrait une faille dans l’extension Firefox de LastPass. L’éditeur avait déjà très vite réagi, constatant le fonctionnement de la brèche, reconnaissant le danger et proposant une nouvelle version dans la foulée.

Au cours des 24 heures suivantes, LastPass a indiqué que les autres extensions étaient également concernées, puisque la faille était liée à des fonctions expérimentales présentes partout. La variante Chrome a donc été mise à jour dans la foulée, tandis que celles pour Opera et Edge sont toujours en attente.

Une faille « sophistiquée » dans l'extension Chrome 

Dans un billet publié hier, LastPass avertit cependant qu’il y aura d’autres mises à jour à prévoir, au moins pour l’extension Chrome. Tavis Ormandy a en effet eu une « épiphanie » en prenant sa douche samedi : il a trouvé comment entrainer une exécution de code dans la version 4.1.43 de LastPass dans le navigateur de Google, la dernière version publiée en fin de semaine dernière, censée corriger la première faille.

Dans son billet de blog, LastPass indique que l’attaque qui exploiterait la nouvelle faille est « unique et hautement sophistiquée ». Ce qui explique l’absence presque totale d’informations, tant du côté de l’éditeur que de Tavis Ormandy. La moindre révélation d’un détail pourrait permettre à des individus mal intentionnés de découvrir la piste vers la faille, même pour des groupes moins sophistiqués.

LastPass donne quelques conseils en attendant

Actuellement, aucune nouvelle version de l’extension n’est proposée, LastPass travaillant sur le sujet. Aucune attaque ne semble pour autant avoir lieu sur la base de ces informations, comme la première faille détectée la semaine dernière.

Cependant, au vu du danger potentiel, LastPass recommande plusieurs points. D’une part, faire attention aux liens « louches », un conseil finalement valable à peu près tout le temps. D’autre part, activer l’authentification à deux facteurs sur l’ensemble des services qui en disposent. Là encore, la recommandation est finalement assez globale : cette fonctionnalité devrait toujours être activée, même hors de toute situation particulière.

Enfin, et c’est sans doute le plus important, LastPass aimerait que les utilisateurs lancent leurs sites depuis le Coffre-fort, c’est-à-dire depuis la zone sécurisée de stockage des mots de passe. L’éditeur n’explique pas vraiment pourquoi, mais ajoute qu’il s’agit du moyen le plus sûr pour accéder à ses identifiants. En attendant, prudence donc.

Deuxième faille en une semaine

On ajoutera que ce type de problème ne peut qu’abimer la réputation d’un gestionnaire de mots de passe, surtout dans le cadre d’une offre synchronisée, les données étant stockées sur des serveurs. Cependant, les failles surviennent régulièrement dans bon nombre de produits.

Pour l’instant, LastPass s’est montré très réactif – recevant au passage les louages du chercheur en sécurité – il faut donc espérer que la nouvelle faille recevra rapidement une réponse.

Commentaires (27)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

723 dans mon keepass pro, par contre pour le perso c’est “uniquement” 70, tous uniques donc la mémoire …

votre avatar

Pendant ce temps là, y’en a qui continuent sans mot de passe

http://info.publicintelligence.net/FBI-PHI-FTP.pdf

votre avatar







hellmut a écrit :



oui mais non.

j’ai besoin d’un truc accessible de partout.

du coup keepass et keepass2android.<img data-src=" />





Idem pour moi, surtout que keepass peut ouvrir/enregistrer directement au fichier depuis hébergement web.

Et que on peut même configurer le fichier pour qu’il s’enregistre automatiquement lors de changement, ou qu’il s’enregistre dans plusieurs endroits.

Bref pas besoin de laisser un service tiers centralisé pour gérer mes mots de passe.


votre avatar

Depuis peu je sauvegarde mes mdp sur un conteneur chiffré avec Veracrypt sur une clé USB + autre backup chiffrée.

votre avatar

Un papier sur le bureau, surtout chez soi ca reste assez sur. Même en cas de cambriolage il y a peu de chance qu’ils ouvrent les cahiers sur le bureau à la recherche de mot de passe :p.

votre avatar

sinon il y a le papier dans une belle cachette physique.

&nbsp;ou alors mots de passes fondus dans des agenda, voire calendrier, ou d’autre impressions dans le genre…

votre avatar

ca c’est sur, mais niveau portabilité on est un peu a zéro.

a partir du moment que l’on est pas chez soit, et que l’on en a besoin, il faut un minimum pour le cacher…

votre avatar







CreaYouz a écrit :



Mué c’est bien pour ce genre de choses que je ne fais pas confiance à un prestataire externes pour gérer mes mots de passe.&nbsp; <img data-src=" />





surtout que c’est pas garantie que le software perdure. Si il disparaît on fait quoi?

Si il y a une fonction pour exporter on a des chances, mais la quand même on est exposé a une certaine dépendance…&nbsp; pas cool… <img data-src=" />


votre avatar

Les meilleurs endroits pour stocker son mot-de-passe:




  • un site web dédié au stockage de mdp

  • le coffre-fort du navigateur web

  • un coffre-fort accessible par une extension du navigateur web



    Personne ne se doutera jamais que vous utilisez l’un de ces endroits.

    Et personne ne cherche des failles dans ces endroits.

    <img data-src=" />

votre avatar
votre avatar

portabilité 0?

J’ai dit sur une feuille, pas gravé sur une enclume <img data-src=" />

votre avatar

Le cloud, caybonmangezen !



Moi je reste avec mon keepass et son fichier local hein <img data-src=" />

votre avatar

LastPassoire :)



pardon c’était trop facile

votre avatar







Haken Trigger a écrit :



Relis la news, tu auras la réponse. <img data-src=" />





Voilà, c’est corrigé. <img data-src=" />



À taquin, taquin et demi.


votre avatar

Lu, et la news dit en gros qu’on ne sait rien. Mais je ne savais pas si le rien est vraiment rien, ou si on ne sait pas toutes les manips (raison de securite), mais on sait si ca passe par chrome via un site web, ou via chrome avec acces a la machine

votre avatar

Et c’est Localhost.local ton site de mdp ?







=======&gt; []

votre avatar







hellmut a écrit :



c’est un luxe que certains ne peuvent se permettre. ^^

enfin pas moi en tout cas.<img data-src=" />





Nous sommes le 28 mars 2017, j’ai 614 mots de passes (presques tous uniques) stockés dans Lastpass…


votre avatar

oui mais non.

j’ai besoin d’un truc accessible de partout.

du coup keepass et keepass2android.<img data-src=" />

votre avatar

wow, j’en suis pas à ce niveau là quand même. ^^

votre avatar

du coup quand tu changes de mot de passe, tu barres et tu écris à côté? ^^

franchement keepass avec le renseignement automatique c’est vachement plus pratique.

ctrl+alt+A et c’est réglé.

votre avatar

Mais du coup, on peut toujours prendre des douches ou pas ?



Pas cool pour eux dans l’absolu (et pour les utilisateurs, pour le coup) mais très bonne réaction <img data-src=" />

votre avatar

Mué c’est bien pour ce genre de choses que je ne fais pas confiance à un prestataire externes pour gérer mes mots de passe.&nbsp; <img data-src=" />

votre avatar

Les autres coffre-fort ont peut-être + de failles mais ne communiquent pas dessus donc c’est courageux de leur part d’en parler volontairement !

votre avatar

La faille porte sur quoi exactement? Code distant? Acces a la machine?

votre avatar

Finalement, je préfère utiliser ma mémoire, pour l’instant, on peut pas la pirater à distance… :/

votre avatar

c’est un luxe que certains ne peuvent se permettre. ^^

enfin pas moi en tout cas.<img data-src=" />

votre avatar

Relis la news, tu auras la réponse.&nbsp;<img data-src=" />

LastPass : nouvelle faille de sécurité, cette fois dans l’extension Chrome

  • Une faille « sophistiquée » dans l'extension Chrome 

  • LastPass donne quelques conseils en attendant

  • Deuxième faille en une semaine

Fermer