LastPass corrige un bug permettant la fuite de mots de passe

Les mots de passe, à l'instar des clés, seront remplacés par des scanners : reconnaissance faciale ou vocale, empreinte digitale, rétine, etc. seront autant de moyens de débloquer un appareil ou un contenu.
Els Bellens

Le gestionnaire de mots de passe LastPass a colmaté une importante brèche. Via ce bug, des sites web mal intentionnés pouvaient tirer les derniers login utilisés de l’extension de navigation.

Le bug se trouvait dans la mise à jour précédente de LastPass et a été entre-temps résolu. Il permettait à des sites web mal intentionnés de visionner les login et mots de passe dernièrement utilisés. Cette faille de type ‘clickjacking’ (détournement de clic) avait été découverte par l’équipe de sécurité Project Zero de Google. Le ‘clickjacking’ sous-entend qu’un utilisateur est manipulé de manière à l’inciter à cliquer sur quelque chose, généralement en le trompant sur ce qui s’affiche.

Le bug ne se trouvait que dans les navigateurs Chrome et Opera et était dû à une cache non correctement actualisée. Pour dérober ainsi des données, un utilisateur doit saisir un mot de passe via LastPass, puis surfer sur un site malveillant et cliquer plusieurs fois sur ce site. Le risque est donc réduit que beaucoup de données soient volées via le bug. Des détails sur ce dernier ont été publiés par Project Zero sur son blog.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire