LastPass corrige un bug permettant d’obtenir le mot de passe d’un site déjà visité

LastPass corrige un bug permettant d’obtenir le mot de passe d’un site déjà visité

Les développeurs du gestionnaire de mot de passe LastPass ont corrigé un bug permettant à un attaquant d’accéder à un mot de passe utilisé sur un site précédemment visité.

Le bug, identifié par Tavis Ormandy de l’équipe Project Zero de Google, a été corrigé la semaine dernière via une mise à jour de l’extension pour navigateur web (version 4.33.0). Il est conseillé d’appliquer cette mise à jour dès que possible, ou d’opter pour la procédure de mise à jour automatique de l’extension.

Un attaquant pouvait exploiter la vulnérabilité via un simple code JavaScript. Ce dernier n’avait qu’à inciter un utilisateur à visiter une page web piégée afin de récupérer le dernier mot de passe utilisé par sa victime.

La vulnérabilité ne touchait cependant que les utilisateurs des navigateurs Chrome et Opera ayant installé l’extension web idoine.

Le bug ayant été remonté de manière privée aux développeurs de LastPass, il est peu probable qu’il ait déjà été exploité par des attaquants avant sa divulgation.

Malgré l’existence de ce bug, le CERT-XMCO tient à rappeler que l’utilisation d’un gestionnaire de mot de passe est vivement conseillée, particulièrement en entreprise. Les gestionnaires de mots de passe sont un rempart bien plus efficace que le stockage du mot de passe au sein du navigateur ou dans un fichier Excel dans la très grande majorité des cas.


Référence

LastPass Bug Reported & Resolved

Référence XMCO

CXN-2019-4225


Arthur Gautier