LastPass, la solution de gestion de mots de passe la plus populaire avec plus de 16 millions d’utilisateurs, dont 58 000 entreprises, a publié une mise à jour la semaine dernière pour corriger une erreur de sécurité révélant les informations d’identification entrées sur un site précédemment visité.
L’erreur a été découverte le mois dernier par Tavis Ormandy, un chercheur de l’équipe de sécurité de Google (Project Zero). L’équipe Google avertit généralement les entreprises concernées de la découverte d’une vulnérabilité et leur donne 90 jours pour publier un correctif avant la publicatio du bogue au publique.
L’application LastPass a résolu le problème signalé dans la version 4.33.0. La société a déclaré dans un blog: Ce bogue affecte uniquement les extensions des navigateurs Chrome (Chrome) et Opera (Opera). LogMeIn, développeur de LastPass, a réduit la gravité du bogue. La société conseille ainsi aux utilisateurs d’effectuer une mise à jour manuelle dès que possible au cas où le mécanisme de mise à jour automatique des extensions de navigateur LastPass n’est pas activé.
Un attaquant peut attirer les utilisateurs vers des pages malveillantes et exploiter cette vulnérabilité pour extraire les informations d’identification entrées par les utilisateurs des sites précédemment visités. La faille de sécurité est sérieuse et exploitable car elle repose sur l’exécution de code JavaScript malicieux, seul et sans interaction de l’utilisateur.
Selon le chercheur en sécurité Tavis Normandy, qui a publié des détails sur les problèmes de sécurité trouvés dans un tweet sur son compte Twitter, cela n’est pas difficile, car un attaquant peut facilement cacher un lien malveillant derrière une URL Google Translate et tromper les utilisateurs afin de visiter le lien et d’extraire les informations d’identification d’un site précédemment visité.
« Pour exploiter cette erreur, les utilisateurs de l’application doivent exécuter une série d’actions, notamment remplir un mot de passe via l’icône LastPass, visiter un site piraté ou malveillant et cliquer plusieurs fois sur la page », a déclaré Ferenc Kun, directeur de l’ingénierie de la sécurité chez LastPass.