LastPass menacé par une faille d'accès

BenjaminWalewski le jeudi 28 juillet 2016 à 15:32:49

LastPass menacé par une faille d'accès

Une faille dans le logiciel de gestion de mot de passe pourrait permettre de récupérer des dizaines de milliers de mot de passe.

(CCM) — On le sait, il n'est pas facile de retenir tous les mots de passe qu'on utilise pour tous les sites Internet que l'on visite. Utiliser le même mot de passe partout ? Très mauvaise idée. Les noter sur un carnet ou dans un fichier texte ? On peut toujours le perdre ou se le faire subtiliser. Les gestionnaires de mots de passe sont une bonne solution. Mais quand une faille de sécurité permet d'accéder aux données, comme ce qui arrive au logiciel LastPass, c'est l'angoisse.

Bien que ces programmes soient très utiles, et qu'ils soient probablement la façon la plus sûre et la plus simple de vous souvenir de tous vos mots de passe (soyez francs, vous en connaissez combien par cœur ?), ils ne sont pas toujours exempts de défauts. Et ils essuient régulièrement des attaques de hackers. LastPass avait justement été mis à mal l'an dernier par deux hackers lors de la conférence BlackHat. Ce gestionnaire de mot de passe, fonctionnant avec un système de cryptage a clé privée, est beaucoup utilisé et donc régulièrement pris pour cible.

Ce sont peut-être ces problèmes de sécurité qui ont poussé le chercheur en sécurité informatique Tavis Ormandy à se pencher sur le code du logiciel. Bien lui en a pris, car ce chercheur employé par Google a découvert ce qu'il a qualifié dans un tweet (en anglais) de "failles critiques évidentes". Mais plutôt que les dévoiler, il a invité LastPass a le contacter pour qu'il puisse leur indiquer les problèmes observés. Les développeurs du logiciel ont rapidement apporté un correctif, avant d'en dire plus sur ce qu'Ormandy avait repéré.

Pour faire simple, la faille concernait le plug-in Firefox. Si un utilisateur se rendait sur un site malveillant en étant attiré par un pirate, un script caché sur le site pouvait activer certains fonctions de LastPass et fournir l'accès au pirate. Après LastPass, Osmandy a annoncé qu'il allait étudier le cas de 1Password, un autre gestionnaire de mot de passe.

Pour améliorer votre sécurité, nous vous invitons également à lire notre dossier sur la meilleure façon de choisir, sécuriser et gérer vos mots de passe.

Photo : © Vdovichenko Denis - ShutterStock.com


Ajouter un commentaire

Commentaires

Ajouter un commentaire