Les développeurs du gestionnaire de mot de passe LastPass ont corrigé un bug permettant à un attaquant d’accéder à un mot de passe utilisé sur un site précédemment visité.
Le bug, identifié par Tavis Ormandy de l’équipe Project Zero de Google, a été corrigé la semaine dernière via une mise à jour de l’extension pour navigateur web (version 4.33.0). Il est conseillé d’appliquer cette mise à jour dès que possible, ou d’opter pour la procédure de mise à jour automatique de l’extension.
Un attaquant pouvait exploiter la vulnérabilité via un simple code JavaScript. Ce dernier n’avait qu’à inciter un utilisateur à visiter une page web piégée afin de récupérer le dernier mot de passe utilisé par sa victime.
La vulnérabilité ne touchait cependant que les utilisateurs des navigateurs Chrome et Opera ayant installé l’extension web idoine.
Le bug ayant été remonté de manière privée aux développeurs de LastPass, il est peu probable qu’il ait déjà été exploité par des attaquants avant sa divulgation.
Malgré l’existence de ce bug, le CERT-XMCO tient à rappeler que l’utilisation d’un gestionnaire de mot de passe est vivement conseillée, particulièrement en entreprise. Les gestionnaires de mots de passe sont un rempart bien plus efficace que le stockage du mot de passe au sein du navigateur ou dans un fichier Excel dans la très grande majorité des cas.
Référence
LastPass Bug Reported & Resolved
Référence XMCO
Découvrir d'autres articles
-
Cyber Threat IntelligenceRetour sur les opérations hacktivistes ciblant la France en marge du conflit israélo-palestinien
Lire l'article -
Veille / VulnérabilitésExploitation d’une vulnérabilité dans WinRAR lors de campagnes de phishing
Lire l'article -
Veille / Vulnérabilités10 erreurs de configuration réseau à ne pas commettre selon la NSA et le CISA
Lire l'article