coffre-fort de mots de passe

Le coffre-fort de mots de passe LastPass corrige une faille dans son service

Une vulnérabilité permettait de voler les mots de passe et d’exécuter un code malveillant via une application pour navigateur du coffre-fort LastPass.

La société LastPass, un coffre-fort de mots de passe, a dû colmater une faille dans l’une de ses extensions pour navigateur qui aurait pu permettre [A pu permettre, NDR] de voler les mots de passe passant par cette extension. Pour cela, un pirate devait mettre en place un site Internet particulièrement constitué qui déclenchait l’action malveillante. Parmi les autres possibilités, injecter dans l’ordinateur du visiteur utilisateur de LastPass un code malveillant directement dans son ordinateur. Deux vulnérabilités ont été découvertes par le chercheur en sécurité Tavis Ormandy. Ce dernier travaille pour Google Project Zero. La faille affectait l’extension LastPass pour le navigateur Chrome. L’attaque utilisait un code JavaScript intermédiaire entre un navigateur et le service cloud de LastPass. Pour prouver sa découverte, le hacker a réalisé un Proof of concept qui lance la calculatrice de Windows. Imaginez lla même chose avec un PDF piégé ou un ransomware ! Le code démo peut être modifié pour voler les mots de passe des utilisateurs avant qu’ils ne soient sauvegardés par LastPass.

En octobre 2016, je vous expliquais comment le site Internet dédié au coffre-fort de mots de passe de la société Splashid avait été infiltré par des pirates informatiques. Les malveillants revendaient les données pour plus de 4 000€. Cette entreprise californienne propose un coffre-fort dédié à vos mots de passe.

Poster un commentaire