L'UE a demandé aux FAI européens d'appliquer des règles de neutralité beaucoup plus strictes.

L'Image du jour

L'UE a demandé aux FAI européens d'appliquer des règles de neutralité beaucoup plus strictes.

Silicon Valley 2016 : Cap sur l'innovation technologique (2e partie)

Dernier Dossier

Silicon Valley 2016 : Cap sur l'innovation technologique (2e partie)

En juin dernier, nous avons passé un peu de temps à San Francisco et dans la Silicon Valley avec une dizaine de journalistes européens pour les derniè...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
0
Réagissez Imprimer Envoyer

LastPass hacké avec une simple attaque phishing

Une fois de plus LastPass est mis en défaut quant à la sécurité de sa plate-forme.

Une fois de plus LastPass est mis en défaut quant à la sécurité de sa plate-forme.

La sécurité du gestionnaire de mots de passe LastPass a une nouvelle été mise en cause par spécialiste en sécurité lors du dernier Shmoocon.

D’après une étude présentée samedi à la conférence Shmoocon, une convention de hackers organisée du 15 au 17 juin par le Shmoo Group à Washington D.C, une simple attaque de phishing pourrait compromettre le très populaire gestionnaire de mots de passe LastPass. Sean Cassidy, CTO de Praesidio Inc, a montré comment les notifications affichées dans la fenêtre du navigateur par la version 4.0 de LastPass pouvaient être falsifiées pour inciter les gens à livrer leurs identifiants de connexion. Le détournement permettrait même de voler le mot de passe à usage unique de l’utilisateur. Celui-ci a informé LastPass du problème qui intervient après son piratage massive en juin dernier.

Dans un blog, LastPass a déclaré que les modifications apportées depuis la divulgation de la procédure par Sean Cassidy devraient rendre ce genre d’attaque plus difficile à réaliser à l’insu de l’utilisateur. Sur GitHub, Sean Cassidy a déposé un outil appelé LostPass qui montre comment un attaquant peut usurper les alertes de LastPass, et éventuellement pousser l’utilisateur à livrer ses identifiants de connexion. Dans un blog, le CTO de Praesidio explique quand ils sont déconnectés de l'application, LastPass alerte les utilisateurs en affichant un message dans la fenêtre du navigateur. Or, une alerte identique pourrait être créée et déclenchée par un attaquant s’il parvenait à attirer l’utilisateur vers un site Web malveillant.

L'authentification à 2 facteurs mise en défaut

Pour son attaque proof-of-concept, Sean Cassidy a acheté le nom de domaine « chrome-extension.pw », un nom très proche du protocole utilisé par Chrome pour les extensions du navigateur, qui permet de ne pas éveiller les soupçons de l’utilisateur. Si ce dernier clique sur la fausse alerte de LostPass, il est redirigé vers un domaine malveillant sur lequel il est à nouveau invité à s’identifier. Même si l'authentification à deux facteurs est active, le jeton d'accès peut-être volé par le site malveillant. « À partir de là, le hacker peut récupérer tous les mots de passe de la victime en utilisant l'API LastPass », a affirmé le CTO.

Curieusement, il semble que les clients qui ont activé l’authentification à deux facteurs de LastPass sont plus vulnérables à l'attaque. Sean Cassidy explique encore que LastPass envoie à l’utilisateur une notification par courriel en cas de tentative de connexion depuis une autre adresse IP. Mais cette alerte n’est adressée qu’aux utilisateurs qui n’ont pas activé l’authentification à deux facteurs. De fait, les utilisateurs qui ont activé la protection n’étaient pas informés en cas de connexion suspecte. Depuis, LastPass a modifié sa procédure de notification et tous les utilisateurs, y compris ceux qui ont activé l’authentification à deux facteurs sont désormais alertés en cas de tentative de connexion depuis un emplacement inhabituel ou depuis un autre périphérique.

Inciter les éditeurs à mieux travailler

Selon Sean Cassidy, sa découverte montre que les logiciels ont besoin d'être plus résistants aux attaques de phishing. « Trop de gens disent que l’on peut résoudre le problème du phishing par une meilleure formation des utilisateurs. Cela revient à rendre les victimes responsables de l’attaque », écrit le CTO de Praesidio. « Même en étant bien préparé, on ne peut pas lutter contre LostPass parce qu’il est très difficile de différencier le vrai message du faux message affiché dans le navigateur de l’utilisateur ».

Même si Sean Cassidy reconnaît que ce type de problèmes est compliqué à résoudre, il a décidé de rendre sa recherche publique. « Moins de 24 h après la publication des détails de l’attaque, des criminels auront développé leur propre version », écrit-il. Ajoutant : « Je publie cet outil pour inciter les entreprises à réaliser leurs propres tests, à comprendre comment fonctionne ce type d’attaque et à réagir de manière appropriée ».

LastPass revoit sa sécurité

Pour répondre à la vulnérabilité découverte par le chercheur, LastPass a mis en place de nouveaux systèmes de défense. L’éditeur prévoit également « d’ajouter des options de notification supplémentaires hors de la fenêtre du navigateur ». Par ailleurs, il est désormais impossible d’accéder aux pages web de LastPass sans se connecter au service. En théorie, même si les utilisateurs sont informés, à tort, qu'ils sont déconnectés du service, ils peuvent voir que LastPass est toujours connecté.

 

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
Publicité
Publicité