
Cette faille de type zéro day permettrait de compromettre totalement la sécurité des comptes des utilisateurs. Sans communiquer les détails au public, mais à l’équipe responsable du logiciel, il a expliqué qu’il suffirait qu’un utilisateur se rende sur un site web infecté pour rendre ses informations disponibles aux pirates et ainsi leur donner un accès aux mots de passe qu’il a sauvegardés.
Un autre chercheur en sécurité, cette fois-ci de l’équipe Detectify, a également trouvé une faille critique. Dans un billet de blog, il expliquait que le problème résidait dans le code JavaScript qui analyse l’URL de la page sur laquelle LastPass travaille.
« J’ai d’abord remarqué que l’extension ajoutait du code HTML à chaque page que je visitais, alors j’ai décidé de mieux comprendre ce phénomène et je me suis lancé dans l’analyse ». Il a découvert que le bogue permettant l’extraction du mot de passe était situé dans la fonctionnalité de remplissage automatique. Tout d’abord, le code parsait l’URL pour déterminer sur quel domaine pointait le navigateur puis il remplissait tout formulaire d’identification avec les identifiants sauvegardés.
Pourtant, en incitant un utilisateur à accéder à une URL sous la forme site-de-lattaquant.com/@twitter.com/@script.php, la fonction d’analyse de LastPass va penser que le navigateur pointe vers twitter.com et non vers site-de-lattaquant.com à cause du caractère “@” placé juste avant twitter.com.
Si un attaquant exécute alors du code JavaScript qui parse et enregistre automatiquement tout texte entré dans les formulaires de connexion, il est en mesure d’extraire les informations d’identification de l’utilisateur et de s’en servir par la suite sur des sites populaires.
Voici le code en question (fonction lpParseUri, un-minified):
Code : | Sélectionner tout |
1 2 | var fixedURL = URL.match(/^(.*:\/\/[^\/]+\/.*)@/); fixedURL && (url = url.substring(0, fixedURL[1].length) + url.substring(fixedURL[1].length).replace(/@/g, "%40")); |
La première vulnérabilité a elle aussi été colmatée pour tous les utilisateurs de la version 4.0 de LastPass sur Firefox. Sur son blog, LastPass la commente en affirmant que « tout d’abord, un attaquant doit attirer un utilisateur LastPass sur un site malveillant. Une fois rendu sur ce site, Ormandy a démontré que le site web pouvait alors déclencher l’exécution d’actions LastPass en arrière-plan à l’insu des utilisateurs comme effacer des éléments ».
Source : blog LastPass, blog Detectify
Voir aussi :

