Tavis Ormandy a de nouveau frappé. En l’espace de vingt-quatre heures, le redoutable limier de Google Project Zero a mis la main sur deux failles de sécurité critiques dans l’extension pour navigateur LastPass, le célèbre gestionnaire de mots de passe. La première a été trouvée dans un code Javascript de ce logiciel et permettait à un attaquant de voler les mots de passe d’un utilisateur au travers d’un site web piégé, quel que soit le navigateur utilisé.
Si l’utilisateur a installé « LastPass Binary Component » – une version musclée de l’extension qui apporte plus de fonctionnalités – l’attaquant pourra même exécuter du code arbitraire à distance. Pour savoir si vous utilisez la version « Binary Component », il faut aller dans le menu déroulant de LastPass, puis ouvrir « Plus d’options -> A propos de LastPass ». La version augmentée est installée si vous voyez le mot « vrai » à côté de la mention « Binary Component » ou « Composant exécutable ».
Oops, new LastPass bug that affects 4.1.42 (Chrome&FF). RCE if you use the "Binary Component", otherwise can steal pwds. Full report on way. pic.twitter.com/y92vm3Ibxd
— Tavis Ormandy (@taviso) March 20, 2017
Heureusement, pas le peine de paniquer. Depuis, LastPass a diffusé un patch qui résout le problème. Enfin presque, car peu après cette notification, Tavis Ormandy a signalé sur Twitter avoir trouvé une seconde faille critique permettant « de voler des mots de passe pour n’importe quel domaine ».
https://twitter.com/taviso/status/844312124541186048
Il s’agissait là d’une vulnérabilité similaire à la première, mais spécifique à la version pour Firefox. Les détails techniques sont disponibles en ligne. Là encore, les ingénieurs de LastPass ont heureusement d’ores et déjà diffusé un patch avec la version 4.1.36a.
A noter, enfin, que LastPass vient de corriger une troisième faille que Tavis Ormandy avait détecté il y a près d’une semaine dans la branche 3.3. Celle-ci est en réalité la plus fréquemment utilisée sur Firefox, car c’est la version officielle diffusée par addons.mozilla.org. Pour télécharger Lastpass 4 pour Firefox, il faut aller sur une page spéciale.
Bref, on a assisté à un véritable festival de failles pour LastPass. Ce qui est quand même rassurant, c’est que l’éditeur s’efforce de très vite les corriger, au point même de récolter un tweet de félicitation de la part de Tavis Ormandy. Ce qui n’est pas rien.
Very impressed with how fast @LastPass responds to vulnerability reports. If only all vendors were this responsive 👍
— Tavis Ormandy (@taviso) March 22, 2017
Sources : rapports de failles 1188, 1209, 1217
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
