Les failles de sécurité ne sont jamais une bonne nouvelle, mais lorsque ces failles peuvent potentiellement compromettre un gestionnaire de mots de passe, c’est là que les choses deviennent particulièrement alarmantes. LastPass a averti les utilisateurs d’une faille avec certaines de ses extensions de navigateur qui ont pu permettre de révéler certains mots de passe.
La bonne nouvelle est que les développeurs du populaire gestionnaire de mots de passe LastPass ont corrigé la faille de sécurité qui exposait votre dernier mot de passe utilisé. Découverte à l’origine en août par Tavis Ormandy, un chercheur du Project Zéro de Google, la faille de sécurité a permis à des sites Web malveillants de tromper l’extension du navigateur en fournissant les informations d’identification que vous aviez entrées sur un précédent site.
LastPass précise qu’elle a déployé une mise à jour pour l’extension du navigateur le 13 septembre, deux semaines après que la vulnérabilité a été signalée pour la première fois par Ormandy.
Afin d’exploiter le bug — qui n’existait peut-être que sur Chrome et Opera — les hackers devaient simplement créer un lien frauduleux se faisant passer pour une URL de sites Web auxquels quelqu’un ferait confiance. Une fois que la personne a cliqué sur le lien, le hacker n’a nécessité aucune interaction de l’utilisateur et a immédiatement exécuté un script automatisé qui a extrait votre dernier mot de passe utilisé.
« Nous avons rapidement travaillé au développement d’un correctif et vérifié que la solution était complète avec Tavis. Nous avons maintenant résolu ce problème ; aucune action de l’utilisateur n’est requise et l’extension de votre navigateur LastPass se mettra à jour automatiquement », ajoute la société dans un article de blog.
Vérifier la mise à jour
Bien que les circonstances de la mauvaise utilisation du bug soient limitées, ces activités sont courantes sur Internet et même si elles touchaient une fraction de la base d’utilisateurs de LastPass, cela implique que pour des milliers d’utilisateurs leurs données sont potentiellement en danger. Le correctif doit être automatiquement appliqué à votre navigateur. Cependant, il est préférable de revérifier en mettant à jour manuellement l’extension LastPass.
Pour ce faire, cliquez sur les trois points en haut à droite de Google Chrome et allez dans « Plus d’outils », puis « Extensions ». Trouvez LastPass, cliquez sur le bouton « Détails » associé, et cliquez ensuite sur le bouton « Mettre à jour » en haut de la page. Sur Opera, vous ne pouvez pas forcer les mises à jour et votre seule option est de réinstaller l’extension.
Quoi qu’il en soit, LastPass a profité de l’occasion pour rappeler aux utilisateurs certaines des meilleures pratiques en matière de sécurité sur Internet. Parmi les avertissements standard pour surveiller les attaques de phishing et s’assurer que votre ordinateur est exempt de logiciels malveillants, LastPass encourage également les utilisateurs à activer la double authentification pour tous les services importants qui l’offrent et à ne jamais réutiliser leur mot de passe principal LastPass.