LastPass colmate deux failles critiques dans son gestionnaire de MdP
Qui auraient permis à un attaquant de récupérer des mots de passe
Le 2016-07-28 12:32:30, par Stéphane le calme, Chroniqueur Actualités
Tavis Ormandy, un chercheur en sécurité britannique travaillant actuellement au sein de l’équipe de sécurité Project Zero de Google, a découvert une faille critique dans LastPass, le gestionnaire de mots de passe relativement populaire qui offre un service premium pour le grand public et également pour les entreprises.
Cette faille de type zéro day permettrait de compromettre totalement la sécurité des comptes des utilisateurs. Sans communiquer les détails au public, mais à l’équipe responsable du logiciel, il a expliqué qu’il suffirait qu’un utilisateur se rende sur un site web infecté pour rendre ses informations disponibles aux pirates et ainsi leur donner un accès aux mots de passe qu’il a sauvegardés.
Un autre chercheur en sécurité, cette fois-ci de l’équipe Detectify, a également trouvé une faille critique. Dans un billet de blog, il expliquait que le problème résidait dans le code JavaScript qui analyse l’URL de la page sur laquelle LastPass travaille.
« J’ai d’abord remarqué que l’extension ajoutait du code HTML à chaque page que je visitais, alors j’ai décidé de mieux comprendre ce phénomène et je me suis lancé dans l’analyse ». Il a découvert que le bogue permettant l’extraction du mot de passe était situé dans la fonctionnalité de remplissage automatique. Tout d’abord, le code parsait l’URL pour déterminer sur quel domaine pointait le navigateur puis il remplissait tout formulaire d’identification avec les identifiants sauvegardés.
Pourtant, en incitant un utilisateur à accéder à une URL sous la forme site-de-lattaquant.com/@twitter.com/@script.php, la fonction d’analyse de LastPass va penser que le navigateur pointe vers twitter.com et non vers site-de-lattaquant.com à cause du caractère “@” placé juste avant twitter.com.
Si un attaquant exécute alors du code JavaScript qui parse et enregistre automatiquement tout texte entré dans les formulaires de connexion, il est en mesure d’extraire les informations d’identification de l’utilisateur et de s’en servir par la suite sur des sites populaires.
Voici le code en question (fonction lpParseUri, un-minified):
Pour cette seconde vulnérabilité, LastPass a été en mesure de colmater la faille, ne manquant pas de remercier le chercheur et de lui attribuer au passage une prime de 1000 dollars.
La première vulnérabilité a elle aussi été colmatée pour tous les utilisateurs de la version 4.0 de LastPass sur Firefox. Sur son blog, LastPass la commente en affirmant que « tout d’abord, un attaquant doit attirer un utilisateur LastPass sur un site malveillant. Une fois rendu sur ce site, Ormandy a démontré que le site web pouvait alors déclencher l’exécution d’actions LastPass en arrière-plan à l’insu des utilisateurs comme effacer des éléments ».
Source : blog LastPass, blog Detectify
Voir aussi :
Cette faille de type zéro day permettrait de compromettre totalement la sécurité des comptes des utilisateurs. Sans communiquer les détails au public, mais à l’équipe responsable du logiciel, il a expliqué qu’il suffirait qu’un utilisateur se rende sur un site web infecté pour rendre ses informations disponibles aux pirates et ainsi leur donner un accès aux mots de passe qu’il a sauvegardés.
Un autre chercheur en sécurité, cette fois-ci de l’équipe Detectify, a également trouvé une faille critique. Dans un billet de blog, il expliquait que le problème résidait dans le code JavaScript qui analyse l’URL de la page sur laquelle LastPass travaille.
« J’ai d’abord remarqué que l’extension ajoutait du code HTML à chaque page que je visitais, alors j’ai décidé de mieux comprendre ce phénomène et je me suis lancé dans l’analyse ». Il a découvert que le bogue permettant l’extraction du mot de passe était situé dans la fonctionnalité de remplissage automatique. Tout d’abord, le code parsait l’URL pour déterminer sur quel domaine pointait le navigateur puis il remplissait tout formulaire d’identification avec les identifiants sauvegardés.
Pourtant, en incitant un utilisateur à accéder à une URL sous la forme site-de-lattaquant.com/@twitter.com/@script.php, la fonction d’analyse de LastPass va penser que le navigateur pointe vers twitter.com et non vers site-de-lattaquant.com à cause du caractère “@” placé juste avant twitter.com.
Si un attaquant exécute alors du code JavaScript qui parse et enregistre automatiquement tout texte entré dans les formulaires de connexion, il est en mesure d’extraire les informations d’identification de l’utilisateur et de s’en servir par la suite sur des sites populaires.
Voici le code en question (fonction lpParseUri, un-minified):
| Code : |
1 2 | var fixedURL = URL.match(/^(.*:\/\/[^\/]+\/.*)@/); fixedURL && (url = url.substring(0, fixedURL[1].length) + url.substring(fixedURL[1].length).replace(/@/g, "%40")); |
La première vulnérabilité a elle aussi été colmatée pour tous les utilisateurs de la version 4.0 de LastPass sur Firefox. Sur son blog, LastPass la commente en affirmant que « tout d’abord, un attaquant doit attirer un utilisateur LastPass sur un site malveillant. Une fois rendu sur ce site, Ormandy a démontré que le site web pouvait alors déclencher l’exécution d’actions LastPass en arrière-plan à l’insu des utilisateurs comme effacer des éléments ».
Source : blog LastPass, blog Detectify
Voir aussi :
-
imikadoRédacteurEuh comment dire: le xss, xsrf ça vous parle ??Sur son blog, LastPass la commente en affirmant que « tout d’abord, un attaquant doit attirer un utilisateur LastPass sur un site malveillant. Une fois rendu sur ce site, Ormandy a démontré que le site web pouvait alors déclencher l’exécution d’actions LastPass en arrière plan à l’insu des utilisateurs comme effacer des éléments ».
Il faut rappeler que la propagation des virus, malwares and co ne fait pas forcément en avec des mails contenant un lien menant sur le site d'un hackeur
Un QRCode, un lien minifié (type twitter) avec la redirection qui va bien ou un site "normal" qui contient une faille sur son forum, système de commentaires et voilale 28/07/2016 à 14:12 -
BufferBobExpert éminenten même temps si l'entreprise ne faisait pas un peu de mauvaise foi pour tenter d’arrondir les angles ce ne serait pas vraiment une entreprise du 21e siècle
ce qui m'a fait glousser -rapidement, point trop n'en faut- c'est plutôt :
c'est peut-être moi qui ai l'esprit mal tourné mais on pourrait comprendre par là que Taviso n'a lui pas remonté la vulnérabilité de manière responsable (sous entendu selon le protocole communément admis, en avertissant la boite et en lui laissant le temps de corriger avant de communiquer dessus publiquement), ce que semble(rait) confirmer la chronologie des tweetsEnvoyé par Blog LastPass le 28/07/2016 à 16:35