Les développeurs du gestionnaire de mot de passe LastPass ont corrigé un bug permettant à un attaquant d’accéder à un mot de passe utilisé sur un site précédemment visité.
Le bug, identifié par Tavis Ormandy de l’équipe Project Zero de Google, a été corrigé la semaine dernière via une mise à jour de l’extension pour navigateur web (version 4.33.0). Il est conseillé d’appliquer cette mise à jour dès que possible, ou d’opter pour la procédure de mise à jour automatique de l’extension.
Un attaquant pouvait exploiter la vulnérabilité via un simple code JavaScript. Ce dernier n’avait qu’à inciter un utilisateur à visiter une page web piégée afin de récupérer le dernier mot de passe utilisé par sa victime.
La vulnérabilité ne touchait cependant que les utilisateurs des navigateurs Chrome et Opera ayant installé l’extension web idoine.
Le bug ayant été remonté de manière privée aux développeurs de LastPass, il est peu probable qu’il ait déjà été exploité par des attaquants avant sa divulgation.
Malgré l’existence de ce bug, le CERT-XMCO tient à rappeler que l’utilisation d’un gestionnaire de mot de passe est vivement conseillée, particulièrement en entreprise. Les gestionnaires de mots de passe sont un rempart bien plus efficace que le stockage du mot de passe au sein du navigateur ou dans un fichier Excel dans la très grande majorité des cas.
Référence
LastPass Bug Reported & Resolved
Référence XMCO
Découvrir d'autres articles
-
Veille / VulnérabilitésDivulgation d’informations via une vulnérabilité au sein de Microsoft Outlook pour Windows
Lire l'article -
Veille / VulnérabilitésMise en place du blocage par défaut des add-ins XLL par Microsoft
Lire l'article