Coup sur coup, deux importantes failles de sécurité ont été signalées pour le gestionnaire de mots de passe LastPass. La première a plus d'un an et concernait tous les navigateurs, tandis que la seconde date d'hier et ne touche que l'extension Firefox. Elles sont toutes les deux bouchées.
LastPass est une application qui permet de centraliser et de sécuriser l'ensemble de vos mots de passe. Elle propose des extensions pour les principaux navigateurs et peut remplir automatiquement les champs d'identification pour vous simplifier la tâche. Autant dire que les données que contient ce gestionnaire de mots de passe sont extrêmement sensibles. Or, hier, deux importantes failles de sécurité sont remontées à la surface.
En l'espace de quelques heures, deux failles critiques sont annoncées
Tout a commencé par un tweet plutôt inquiétant de Tavis Ormandy, un chercheur en sécurité qui fait partie du Projet Zero de Google. Il explique qu'après « avoir jeté un coup d'œil », il remarque « tout un tas de problèmes critiques évidents », sans donner plus de détails sur les tenants et les aboutissants de cette affaire. Quelques heures plus tard, un rapport est envoyé à LastPass et Ormandy ajoute que les équipes de LastPass travaillent à la résolution des problèmes indiqués.
Encore quelques heures plus tard, Mathias Karlsson publie un tweet où il explique que, lui aussi, il a « piraté LastPass » avec un lien vers un billet de blog au titre explicite et inquiétant : « Comment j'ai fait pour que LastPass me donne tous vos mots de passe ». Pour résumer, cette brèche permettait d'extraire les mots de passe proposés par la fonction de remplissage automatique des formulaires.
L'astuce : en intégrant le nom de domaine du site à mimer dans l'adresse du site de phishing (par exemple « http://www.sitedephishing.com/@twitter.com »), l'extension croyait arriver directement sur le site légitime, ici twitter.com. Elle remplissait donc les champs d'identification sans s'inquiéter.
LastPass s'explique : l'une est corrigée depuis plus d'un an, l'autre est récente
Face à cette déferlante, il n'aura pas fallu attendre longtemps pour que LastPass sorte du bois afin de s'expliquer. L'équipe indique tout d'abord que la faille détectée par Mathias Karlsson lui a été « responsablement remontée » il y a plus d'un an, et que « tous les clients des navigateurs ont été mis à jour » à ce moment-là. « En moins d'un jour » ajoute le chercheur, qui précise avoir obtenu une récompense de 1 000 dollars.
Concernant la faille remontée par le chercheur de chez Google, LastPass précise que cela ne concerne que l'extension pour Firefox dans sa version 4.x, et que cette mouture n'est distribuée que via le site de LastPass pour le moment. En effet, en passant par le magasin d'extensions de Firefox, c'est encore la version 3.3.1 qui est proposée à l'heure actuelle. Selon l'éditeur, elle n'est pas vulnérable à cette brèche de sécurité.
Tavis Ormandy a dévoilé les détails de la faille par ici. Si LastPass reste très évasif en indiquant qu'il est possible « d'exécuter des actions LastPass en arrière-plan à l'insu de l'utilisateur, telle que la suppression de certains éléments », le chercheur de chez Google est bien plus incisif et donne de nombreux détails : « un attaquant peut créer et supprimer des fichiers, exécuter des scripts, voler les mots de passe, connecter les victimes à leur propre compte LastPass de manière à ce qu'ils puissent récupérer tout ce qui est sauvegardé de nouveau, etc, etc. ».
Here are the details of the vulnerability I reported https://t.co/2fWFyBFzUm https://t.co/3HaEQRJEqa
— Tavis Ormandy (@taviso) 28 juillet 2016
Extension pour Firefox : désaccord sur les détails de l'exploitation, un correctif disponible
LastPass précise ensuite qu'un pirate a besoin d'attirer sa victime sur un site malveillant afin d'exploiter cette faille, ce que réfute catégoriquement Tavis Ormandy : « En fait, aucune des attaques décrites ne nécessite du phishing. Je suppose que le billet de blog a été écrit par quelqu'un qui ne connaît pas le terme phishing ».
Dans tous les cas, les deux parties s'accordent sur un point : la faille est bouchée et la mise à jour est en train d'être déployée. L'extension pour Firefox passe ainsi en version 4.1.21a. Si vous ne voulez pas attendre que la mise à jour soit proposée par Firefox, vous pouvez directement la récupérer par ici.
Commentaires (54)
Faut retourner à Keepass.
Jamais eu de soucis avec :)
Est-ce serait quoi la solution idéale, avoir un cerveau capable de retenir 200 mots de passe de 16 caractères aléatoires?
”….ses mots de passe”
Réponse très intelligente, surtout quand t’as 50 mots de passe différents à retenir.
Tu utillises une règle de génération qui donne des password unique. Pas besoin de les retenir, juste l’algo de creation.
Suffit qu’un seul des sites se fasse péter sa BD, qu’il les stock en clair ou autre solution de hashage style MD5, on retrouve ton password, ta méthode de génération et ce sont tous tes MDPs qui tombent.
Facile: “motdepassedusitenom_du_site”
" />
Je suis déjà loiiiin
Edit: pff, on peut pas ecrire un truc entre inférieur et supérieur :S
Tu as ce genre de solution : http://forum.nextinpact.com/topic/157193-bien-gérer-ses-mots-de-passe. Elle n’est pas parfaite mais vu que tu ne t’appelles pas Snowden ça devrait aller. Après ce n’est bien sûr pas la seule.
Tu peux utiliser une génération qui ne se reverse pas si facilement. Comme celle proposée par TheBlackPearl ;)
C’est bien joli tout ça mais quid des sites qui limitent (trop) la liste des caractères utilisables !
Merci pour le lien direct pour firefox, car le module proposé par la voie “standard” est absolument pas à jour :/.
Justement, je me suis toujours demandé si les hackers iraient aussi loin. S’ils trouvent ton mot de passe, il est perdu parmi des milliers ou millions d’autres, et ils doivent éventuellement uniquement se contenter de réutiliser ce mot de passe et l’email associé sur d’autres sites pour récupérer plus de données. Mais je ne pense pas qu’ils aillent jusqu’à décortiquer ta régle simple de génération de mot de passe pour extrapoler d’autres mots de passes sur d’autres sites. Ils ont trop de données à gérer.
Keepass pour moi
Tout dépend de ce qu’ils ciblent. Dans une pêche au gros (grosse db d’un site, phising de masse) ils ne vont pas spécialement chercher, par contre si c’est plus ciblé contre toi/un groupe auquel tu appartiens là oui, de fortes chances qu’ils l’analysent un peu et déduisent rapidement tes autres passwords.
" />
Après, si tu en es au stade où des blacks hats réputés/des agences gouvernementales en ont spécifiquement après toi, il vaut mieux que tes données sensibles ne soient pas protégées par un seul password généré facilement avec une “règle”
Le topic en question donne une réponse à cette question. Après à toi de voir si ça te va. ^^
Il n’y a clairement pas de solution idéale.
Les gestionnaires de mots de passe ne sont pas parfaits, mais ils sont un moindre mal (en tout cas, toujours mieux que d’utiliser le même mot de passe partout, ce que font 90% des gens).
Donc mettre tous œufs dans le même panier c’est pas bien.
Personnellement je n’ai pas les compétences pour auditer le code d’un gestionnaire libre. Or on sait que même quand c’est libre et largement utilisé ça peut contenir des failles. Donc je ne fais pas confiance. Idem pour les gestionnaires non libres.
Ça fait quelques temps que j’essaie de me motiver à créer un algo perso pour mes mdp afin qu’ils soient uniques par site. Mais la grosse inconnue qui me bloque c’est les prérequis des différents site.
Il me semble avoir été confronté à des sites qui limitent le nombre de caractères possibles. Ça vous arrive aussi ?
Y’a quelques site où je réinitialise mon mdp à chaque fois que je dois y aller parce qu’ils ont un prérequis particulier ([fake]exemple au moins 4 majuscules et 3 chiffres), dont je ne me souviens jamais.
Ouais, mais on ne s’appelle pas Snowden ici, donc on n’est pas trop des cibles de choix.
+1
Deux vidéos interessantes sur le sujet :
Le crackage des mots de passe (l’attaque rainbow table m’a mis froid dans le dos, utilisant un algo de génération de mot de passe assez simple depuis quelques années qui pourrait se faire péter au vu des mots de passes qui reviennent ici) : https://www.youtube.com/watch?v=7U-RbOKanYs
Une idée pour la génération des mots de passes : https://www.youtube.com/watch?v=3NjQ9b3pgIg
J’utilisais keepass depuis longtemps, j’ai migré vers 1password récemment.
Bien sur, mais entre Snowden et les bases de données qui fuitent genre Ashley Madison, il y a l’entre deux, tu peux faire partie d’un groupe qui se retrouve ciblé, si par exemple tu as un linkedin à jour/cv en ligne et qu’il y est écrit que tu dev pour telle société, tu peux être une cible d’espionnage industriel de la part de la concurrence.
" />
Même si la DGSI/NSA/GCHQ et consorts n’ont pas grand chose à faire de nous, certaines de nos données peuvent avoir de l’importance pour quelqu’un d’autre (Sans parler du cas de figure où la cible peut être un de tes contacts, et étant moins sécurisé qu’elle, ils peuvent essayer de passer par toi pour en apprendre plus sur elle).
Tu peux toujours être une cible, ça dépend plutôt de qui est intéressé.
On prend toujours l’exemple des gouvernements car c’est l’exemple classique de celui qui a des moyens et capable de le faire en masse.
Faut pas oublier d’autres types d’attaquants : patron trop curieux, ex-petite amie,…
Eux n’ont p-ê pas des grands moyens d’attaques, mais le social engineering peut les aider à trouver et faire du dégât bien plus ciblés sur d’autres plans une fois qu’un de tes pass est connu.
Pour le moment les quelques soucis de sécurité rencontré par LastPass ne méritent pas encore que je remette en question cet outil.
Il est quand même fichtrement bien pratique avec l’application mobile….
Le papier et le crayon, on le dira jamais assez , ‘y a que l’attaque physique qui permet à quelqu’un d’y avoir accès. Zéro risque de vol à distance de ton ‘gestionnaire’ et en cas de trou de mémoire ça marche aussi bien que le reste. :)
Keepass sur un Gdrive ici.
Entre les mdp persos et ceux du boulot, avec les règles sur les caractères, que j’essaie qu’ils soient vaguement différents et le fait que certains doivent être changer trop régulièrement, c’est impossible de se souvenir de tout.
Bravo à ceux qui y arrivent.
Toi aussi lègue ton compte youporn à tes proches !
" />
Pas sûr que ça soit un argument qui porte.
Pas vraiment car certains sites ne supportent même pas l’alpha numérique (ameli.fr pour ne citer que celui-là), certain ont un nombre min/max de caractères. Bref, si tu ne te rappelles pas des spécificités de chaque site, t’es mort !
Je ne vois pas l’intérêt d’avoir un mot de passe différent pour chaque site marchand, vu qu’aucun site marchand sérieux ne stocke le moyen de paiement.
" />), l’intérêt est nul.
Et quand c’est quand même le cas (genre Amazon…), il suffit de supprimer la CB après chaque commande.
Pareil pour les sites genre forum où le seul risque est de se faire voler son pseudo. A part nuire à la réputation de quelqu’un (si celle-ci n’est pas déjà pourrie
Le reste, c’est les sites administratifs qui ont pour la plupart des prérequis particuliers.
Je suis passé de LastPass vers Keepass y’a a peu près 6 mois, et je ne regrette vraiment pas.
" />
Le seul problème que j’ai, c’est la synchro avec les appareils mobiles…
Autant sur PC, je mets le logiciel sur OneDrive, comme ça, je peux l’utiliser sans problème de chez moi, et du boulot sans problèmes (et en même temps, je ne me prends plus la tête avec les clés SSH), autant sur mobile, c’est plus compliqué… Parce que d’une part, j’ai pas trouvé de bonnes applications qui utilise OneDrive sur iOS, et d’autre part, j’utilise une authentification à facteurs multiples, avec un dongle de sécurité physique, et ça, bah, sur mobile, ça passe moins bien.
J’ai bien pensé à utiliser une base fixe, en lecture/écriture, et une autre, qui ne serait utilisée qu’en lecture, sur le mobile, mais on peut pas synchroniser deux bases Keepass qui n’ont pas la même clé composée
Moi si.
2 ou 3 fois, et je n’ai aucune idée de comment ils ont pu trouver ces mdp.
It happens.
(pour info une dizaines de caractères , 1 signe et 2 chiffres c’est mon mdp le plus compliqué. Rien de traumatisant à utiliser ;) )
J’en ai eu un qui m’avais envoyé mon mdp dans le mail de confirmation du compte.
Je me suis aussitôt désinscrit en leur demandant par mail de tout supprimer de leur base.
que des chiffres… tu veux dire le genre de règle qui finit par mettre sa date de naissance / de mariage en mot de passe?
Idem de mon coté
Quand on voit les tweets de Tavis Ormandy, on voit quand même qu’il s’attaque à tout un tas d’applis dont il remet en cause leur invulnérabilité, souvent avec un ton moqueur (ça n’empeche, il a l’air sacrément bon).
Dans les tweet, il y a une réponse de Mathias Karlsson qui indique qu’il a réussi la manip de son coté.
https://labs.detectify.com/2016/07/27/how-i-made-lastpass-give-me-all-your-passw…
Il indique tout de meme “Also, this would not work if multi factor authentication was on, so you should probably enable that as well.”
Donc c’est quand même un point a prendre en compte dans les éléments de sécurité dispo.
Dans lastpass, il y a une option nommée LastPass Emergency Access
https://blog.lastpass.com/2016/07/how-to-get-started-with-lastpass-emergency-acc…
C’est assez récent, ça peut être intéressant comme option dans le cas que tu site
Tiens c’est pas bête comme idée, je prends. 
" />
Bel exemple de sophisme
" />
Perso, j’utilise Encryptr pour me rappeler de mes mdps sur un pc non connecté.
Et pour les besoins de tous les jours, j’ai un simple fichier texte chiffré avec ccrypt, lui-même dans un conteneur Truecrypt (qu’il faut que je change pour Vera d’ailleurs). Le tout sur une clé USB qui ne me quitte jamais quand je suis à l’extérieur.
Ca commence à faire beaucoup….
http://www.nextinpact.com/news/95429-la-securite-lastpass-compromise-changez-vot…
https://blog.lastpass.com/2011/05/lastpass-security-notification.html/
Bon, je vais garder Keepass en local…
Idem, j’ai migré de LastPass à KeePass quand LastPass s’est fait bouffer par LogMeIn (je n’ai aucune confiance en ces types).
Et à part la mise en place un peu plus complexe (comme créer une règle pour que le fichier soit enregistré automatiquement à chaque changement… ils n’auraient pas juste pu faire une option pour ça ?), je ne regrette pas ce choix.
Et pour la synchro avec Android, Keepass2Android (avec le fichier synchronisé sur un Dropbox en double authentification) fait très bien le boulot.
Je vous conseille plutôt Roboform c’est un des logiciels les plus anciens donc l’un des plus sûrs.
Normalement Roboform EveryWhere est payant mais il y a très souvent un an offert donc en surveillant bien les promos on ne paie jamais.
J’aurai du le faire depuis longtemps: clôturer lastpass pour me forcer à utiliser keepassx (sous linux, sans framework mono), chose faite aujourd’hui.
Pour la synchro, on verra plus tard, même si je note les idées données plus haut :)
Dans tous les cas, les deux parties s’accordent sur un point : la faille est bouchée et la mise à jour est en train d’être déployée. L’extension pour Firefox passe ainsi en version 4.1.21a.
Pourquoi j’ai la version 4.1.23a sous firefox ?