Tavis Ormandy est une terreur. Ce jeune chercheur en sécurité informatique britannique travaille actuellement pour l’équipe de sécurité Project Zero, de Google. Constituée d’experts de très haut niveau, elle jette son dévolu sur des programmes ou services en ligne et passe au crible leur sécurité.
Récemment, Tavis Ormandy s’est penché sur le cas de LastPass, un gestionnaire de mots de passe en ligne, plutôt connu et populaire, qui offre un service premium pour le grand public et également pour les entreprises.
Il y a découvert une faille zero day, par définition non répertoriée officiellement et, par conséquent, non corrigée. Cette faille peut apparemment compromettre totalement, et à distance, la sécurité des comptes des utilisateurs. Il suffirait pour cela qu’un utilisateur visite un site Web « infecté », ce qui exposerait toutes ses informations sur LastPass et donnerait un accès aisé à tous les mots de passe qui y sont stockés.
Are people really using this lastpass thing? I took a quick look and can see a bunch of obvious critical problems. I'll send a report asap.
— Tavis Ormandy (@taviso) July 26, 2016
Pour l’instant, l’expert en sécurité, qui s’est fait les dents sur Symantec ou Avast, n’a pas donné beaucoup de détails sur sa trouvaille. Il précise dans un premier tweet qu’il publiera rapidement un rapport sur cette faille et s’interroge par ailleurs sur le fait que des personnes puissent sérieusement utiliser LastPass.
Il semblerait en effet qu’il ne lui ait fallu qu’un coup d’œil rapide pour trouver des problèmes critiques plutôt évidents, selon lui.
Quelques échanges, avec des twittos qui se disent anciens ingénieurs chez LastPass, ne réconforte guère. L’un d’eux dit que les fichiers binaires sont « négligés » et que la façon dont les communications entre les binaires et l’extension sont gérées est « effrayante ». Voilà qui est peu rassurant.
Full report sent to LastPass, they're working on it now. Yes, it's a complete remote compromise. Yes, I promise I'll look at 1Password.
— Tavis Ormandy (@taviso) July 27, 2016
On ne sait pas pour l’instant si cette faille zero day a été découverte par un pirate avant Tavis Ormandy et si elle est déjà utilisée. Une chose est sûre pour l’instant, elle n’est pas corrigée, LastPass va devoir s’y atteler.
Dans une autre tweet, l’expert du Project Zero a indiqué avoir envoyé un rapport complet au service menacé pour qu’il puisse corriger les problèmes.
Il précise également que la prochaine cible de son attention sera un autre gestionnaire de mots de passe, 1Password, qui va donc avoir droit à un audit de sécurité gratuit…
Every day, thousands of passwords get stolen….Is yours for sale?https://t.co/72pirayAld
— LastPass (@LastPass) July 18, 2016
On appréciera, ou non, le fait que LastPass ait épinglé en haut de sa page Twitter, un tweet interpelant les éventuels lecteurs d’un « chaque jour, des milliers de mots de passe sont volés… Le vôtre est-il à vendre ? La question est bonne. A LastPass d’y répondre, désormais.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
