Discussion :

[Stéphane le calme]

LastPass colmate deux failles critiques dans son gestionnaire de MdP,
qui auraient permis à un attaquant de récupérer des mots de passe

Tavis Ormandy, un chercheur en sécurité britannique travaillant actuellement au sein de l’équipe de sécurité Project Zero de Google, a découvert une faille critique dans LastPass, le gestionnaire de mots de passe relativement populaire qui offre un service premium pour le grand public et également pour les entreprises.

Cette faille de type zéro day permettrait de compromettre totalement la sécurité des comptes des utilisateurs. Sans communiquer les détails au public, mais à l’équipe responsable du logiciel, il a expliqué qu’il suffirait qu’un utilisateur se rende sur un site web infecté pour rendre ses informations disponibles aux pirates et ainsi leur donner un accès aux mots de passe qu’il a sauvegardés.

Un autre chercheur en sécurité, cette fois-ci de l’équipe Detectify, a également trouvé une faille critique. Dans un billet de blog, il expliquait que le problème résidait dans le code JavaScript qui analyse l’URL de la page sur laquelle LastPass travaille.

« J’ai d’abord remarqué que l’extension ajoutait du code HTML à chaque page que je visitais, alors j’ai décidé de mieux comprendre ce phénomène et je me suis lancé dans l’analyse ». Il a découvert que le bogue permettant l’extraction du mot de passe était situé dans la fonctionnalité de remplissage automatique. Tout d’abord, le code parsait l’URL pour déterminer sur quel domaine pointait le navigateur puis il remplissait tout formulaire d’identification avec les identifiants sauvegardés.

Pourtant, en incitant un utilisateur à accéder à une URL sous la forme site-de-lattaquant.com/@twitter.com/@script.php, la fonction d’analyse de LastPass va penser que le navigateur pointe vers twitter.com et non vers site-de-lattaquant.com à cause du caractère “@” placé juste avant twitter.com.

Si un attaquant exécute alors du code JavaScript qui parse et enregistre automatiquement tout texte entré dans les formulaires de connexion, il est en mesure d’extraire les informations d’identification de l’utilisateur et de s’en servir par la suite sur des sites populaires.

Voici le code en question (fonction lpParseUri, un-minified):

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
var fixedURL = URL.match(/^(.*:\/\/[^\/]+\/.*)@/);
fixedURL && (url = url.substring(0, fixedURL[1].length) + url.substring(fixedURL[1].length).replace(/@/g, "%40"));

Pour cette seconde vulnérabilité, LastPass a été en mesure de colmater la faille, ne manquant pas de remercier le chercheur et de lui attribuer au passage une prime de 1000 dollars.

La première vulnérabilité a elle aussi été colmatée pour tous les utilisateurs de la version 4.0 de LastPass sur Firefox. Sur son blog, LastPass la commente en affirmant que « tout d’abord, un attaquant doit attirer un utilisateur LastPass sur un site malveillant. Une fois rendu sur ce site, Ormandy a démontré que le site web pouvait alors déclencher l’exécution d’actions LastPass en arrière-plan à l’insu des utilisateurs comme effacer des éléments ».

Source : blog LastPass, blog Detectify

Voir aussi :

Plus de 45 millions de mots de passe volés sur plus de 1000 sites et forums, gérés par la société de média VerticalScope

Plus de 51 millions de comptes utilisateurs de l'ancien service peer-to-peer iMesh en vente, des millions avec des mots de passe faibles

[imikado]

Sur son blog, LastPass la commente en affirmant que « tout d’abord, un attaquant doit attirer un utilisateur LastPass sur un site malveillant. Une fois rendu sur ce site, Ormandy a démontré que le site web pouvait alors déclencher l’exécution d’actions LastPass en arrière plan à l’insu des utilisateurs comme effacer des éléments ».

Euh comment dire: le xss, xsrf ça vous parle ??
Il faut rappeler que la propagation des virus, malwares and co ne fait pas forcément en avec des mails contenant un lien menant sur le site d'un hackeur
Un QRCode, un lien minifié (type twitter) avec la redirection qui va bien ou un site "normal" qui contient une faille sur son forum, système de commentaires et voila

[BufferBob]

Euh comment dire: le xss, xsrf ça vous parle ??
Il faut rappeler que la propagation des virus, malwares and co ne fait pas forcément en avec des mails contenant un lien menant sur le site d'un hackeur

en même temps si l'entreprise ne faisait pas un peu de mauvaise foi pour tenter d’arrondir les angles ce ne serait pas vraiment une entreprise du 21e siècle

ce qui m'a fait glousser -rapidement, point trop n'en faut- c'est plutôt :

we want to address in more detail two security reports that have been disclosed to our team. One report was disclosed yesterday, while the other report was responsibly reported and fixed over a year ago

c'est peut-être moi qui ai l'esprit mal tourné mais on pourrait comprendre par là que Taviso n'a lui pas remonté la vulnérabilité de manière responsable (sous entendu selon le protocole communément admis, en avertissant la boite et en lui laissant le temps de corriger avant de communiquer dessus publiquement), ce que semble(rait) confirmer la chronologie des tweets