Cette faille de type zéro day permettrait de compromettre totalement la sécurité des comptes des utilisateurs. Sans communiquer les détails au public, mais à l’équipe responsable du logiciel, il a expliqué qu’il suffirait qu’un utilisateur se rende sur un site web infecté pour rendre ses informations disponibles aux pirates et ainsi leur donner un accès aux mots de passe qu’il a sauvegardés.
Un autre chercheur en sécurité, cette fois-ci de l’équipe Detectify, a également trouvé une faille critique. Dans un billet de blog, il expliquait que le problème résidait dans le code JavaScript qui analyse l’URL de la page sur laquelle LastPass travaille.
« J’ai d’abord remarqué que l’extension ajoutait du code HTML à chaque page que je visitais, alors j’ai décidé de mieux comprendre ce phénomène et je me suis lancé dans l’analyse ». Il a découvert que le bogue permettant l’extraction du mot de passe était situé dans la fonctionnalité de remplissage automatique. Tout d’abord, le code parsait l’URL pour déterminer sur quel domaine pointait le navigateur puis il remplissait tout formulaire d’identification avec les identifiants sauvegardés.
Pourtant, en incitant un utilisateur à accéder à une URL sous la forme site-de-lattaquant.com/@twitter.com/@script.php, la fonction d’analyse de LastPass va penser que le navigateur pointe vers twitter.com et non vers site-de-lattaquant.com à cause du caractère “@” placé juste avant twitter.com.
Si un attaquant exécute alors du code JavaScript qui parse et enregistre automatiquement tout texte entré dans les formulaires de connexion, il est en mesure d’extraire les informations d’identification de l’utilisateur et de s’en servir par la suite sur des sites populaires.
Voici le code en question (fonction lpParseUri, un-minified):
Code : | Sélectionner tout |
1 2 | var fixedURL = URL.match(/^(.*:\/\/[^\/]+\/.*)@/); fixedURL && (url = url.substring(0, fixedURL[1].length) + url.substring(fixedURL[1].length).replace(/@/g, "%40")); |
La première vulnérabilité a elle aussi été colmatée pour tous les utilisateurs de la version 4.0 de LastPass sur Firefox. Sur son blog, LastPass la commente en affirmant que « tout d’abord, un attaquant doit attirer un utilisateur LastPass sur un site malveillant. Une fois rendu sur ce site, Ormandy a démontré que le site web pouvait alors déclencher l’exécution d’actions LastPass en arrière-plan à l’insu des utilisateurs comme effacer des éléments ».
Source : blog LastPass, blog Detectify
Voir aussi :
Plus de 45 millions de mots de passe volés sur plus de 1000 sites et forums, gérés par la société de média VerticalScope
Plus de 51 millions de comptes utilisateurs de l'ancien service peer-to-peer iMesh en vente, des millions avec des mots de passe faibles