LastPass corrige un bug permettant d'obtenir le mot de passe d'un site déjà visité

Les développeurs du gestionnaire de mot de passe LastPass ont corrigé un bug permettant à un attaquant d’accéder à un mot de passe utilisé sur un site précédemment visité.

Le bug, identifié par Tavis Ormandy de l’équipe Project Zero de Google, a été corrigé la semaine dernière via une mise à jour de l’extension pour navigateur web (version 4.33.0). Il est conseillé d’appliquer cette mise à jour dès que possible, ou d’opter pour la procédure de mise à jour automatique de l’extension.

Un attaquant pouvait exploiter la vulnérabilité via un simple code JavaScript. Ce dernier n’avait qu’à inciter un utilisateur à visiter une page web piégée afin de récupérer le dernier mot de passe utilisé par sa victime.

La vulnérabilité ne touchait cependant que les utilisateurs des navigateurs Chrome et Opera ayant installé l’extension web idoine.

Le bug ayant été remonté de manière privée aux développeurs de LastPass, il est peu probable qu’il ait déjà été exploité par des attaquants avant sa divulgation.

Malgré l’existence de ce bug, le CERT-XMCO tient à rappeler que l’utilisation d’un gestionnaire de mot de passe est vivement conseillée, particulièrement en entreprise. Les gestionnaires de mots de passe sont un rempart bien plus efficace que le stockage du mot de passe au sein du navigateur ou dans un fichier Excel dans la très grande majorité des cas.


Référence

LastPass Bug Reported & Resolved

Référence XMCO

CXN-2019-4225

Arthur Gautier

Découvrir d'autres articles

  • conflit israélo-palestinien
    Cyber Threat Intelligence

    Retour sur les opérations hacktivistes ciblant la France en marge du conflit israélo-palestinien

    Lire l'article
  • Veille / Vulnérabilités

    Exploitation d’une vulnérabilité dans WinRAR lors de campagnes de phishing

    Lire l'article
  • Veille / Vulnérabilités

    10 erreurs de configuration réseau à ne pas commettre selon la NSA et le CISA

    Lire l'article