Posté le septembre 17, 2019 à 21:15

LASTPASS CORRIGE UNE FAILLE POTENTIELLEMENT DANGEREUSE POUVANT ENTRAÎNER LA FUITE D’INFORMATIONS D’IDENTIFICATION DU SITE PRÉCÉDENT

Le célèbre service de gestion de mots de passe LastPass a récemment fait les manchettes en raison d’une faille de sécurité pouvant exposer les informations de connexion des clients saisies sur une page Web précédemment ouverte.

La dangereuse vulnérabilité a été dévoilée en août par un spécialiste de la sécurité travaillant pour le Projet Zéro de Google, le géant en ligne chargé de repérer et d’alerter le cyberespace des bugs et failles. Le nom du chercheur est Tavis Ormandy.

LastPass est, sans aucun doute, l’un des gestionnaires de mots de passe les plus utilisés dans le cyberespace d’aujourd’hui. La société a déjà trouvé une solution au problème rencontré dans la version 4.33.0. Le correctif aurait été publié le 12 septembre et il est vivement recommandé aux utilisateurs de le mettre à jour.

Activer la fonctionnalité de mise à jour automatique ou le faire manuellement

Le processus de mise à jour peut être activé via une fonctionnalité de mise à jour automatique présente dans l’extension de navigateur  LastPass ou sur une application pour appareils mobiles. Cependant, s’ils ne l’ont pas encore fait, l’entreprise recommande une mise à jour manuelle dès que possible; sinon ils peuvent être en danger.

Ces recommandations de mise à jour soudaines apparaissent parce qu’Ormandy a maintenant publié des détails spécifiques sur la faille qu’il a découverte, et cela peut servir de manuel ou de guide étape par étape pour expliquer aux attaquants potentiels comment tirer parti de la faille.

La faille de sécurité dépend de l’exécution de code JavaScript malveillant sans aucune utilisation des interactions supplémentaires impliquées. C’est pourquoi la faille est si menaçante et exploitable par des personnes mal intentionnées.

Le modus operandi

Les hackers et les cybercriminels peuvent travailler pour attirer des cibles naïves vers des sites Web malveillants et tirer parti de la faille pour accéder aux informations de connexion inscrites sur les sites précédemment visités. Pour Ormandy, le processus n’est en fait pas si difficile parce qu’il peut être aussi simple que de se cacher derrière une URL Google Translate, de tromper les gens et les inciter à ouvrir le lien, puis de prendre ces identifiants susmentionnés.

Ormandy a averti que la situation devrait être qualifiée de très grave bien que cela ne fonctionne pas pour toutes les URL. Il y a cependant de bonnes nouvelles quant à l’impact de l’existence de l’exploit jusqu’à maintenant.

La faille de sécurité a été dévoilée et signalée confidentiellement by Google, ce qui signifie que, puisqu’elle n’a pas été publiée avant la publication d’un correctif, rien n’indique que les personnes concernées pourraient croire que des hackers en ont tiré parti.

ZDNet, une plate-forme d’information spécialisée dans la cybersécurité, a déclaré qu’elle avait essayé de contacter les responsables de LastPass mais qu’ils n’avaient pas répondu.

Les gestionnaires de mots de passe et leur rôle dans la cybersécurité

Comme c’est le cas avec une myriade d’autres services et applications en ligne, les gestionnaires de mots de passe peuvent être très vulnérables aux failles de sécurité. Et comme les autres offres et produits sur le Web, ces failles sont généralement corrigées, corrigées ou les systèmes sont mis à jour pour une meilleure protection.

La recommandation de ce site est que, malgré l’existence de la faille de LastPass, les gens devraient envisager l’idée d’utiliser un gestionnaire de mots de passe pour leur convenance et pour des raisons de sécurité. Il est recommandé d’en utiliser un et c’est une meilleure idée. Dans le cas contraire, des phrases de passe faibles ou le fait de les laisser stockées dans un navigateur Web facilite la tâche aux logiciels malveillants et aux hackers de les pirater.

En fait, LastPass est tellement ancrée dans la protection des mots de passe contre les espions, les fouineurs ou d’autres parties intéressées à tel point que l’entreprise n’a pas été en mesure d’aider un célèbre organisme d’application de la loi aux États-Unis, la DEA, dans une affaire judiciaire.

Pour être plus précis, les policiers ont demandé à LastPass de fournir des données sur un client particulier de la plate-forme, notamment des mots de passe et son adresse personnelle. Cependant, et comme l’information était cryptée dans son intégralité, le gestionnaire de mots de passe n’a pas pu aider les forces de l’ordre américaines, un développement que de nombreux membres de la communauté de la cybersécurité ont applaudi et ont salué.