Une fois n'est pas coutume, c'est une nouvelle faille critique qui vient d'être corrigée dans LastPass, le coffre-fort de mots de passes. Régulièrement visé pour des soucis de sécurité (en janvier et en juillet 2016 notamment), LastPass vient de combler en urgence une sérieuse vulnérabilité qui aurait pu permettre à des attaquants de voler les mots de passe utilisateur ou d'exécuter du code malveillant distant sur leurs ordinateurs. 

Cette vulnérabilité a été découverte par l'équipe de chercheurs en sécurité de Google, Project Zero et en particulier Tavis Ormandy. La faille a été remontée à LastPass lundi et affectait les extensions installées sur les navigateurs Chrome, Firefox et Edge. Une note de Google montre que la vulnérabilité aurait pu donner aux pirates un accès à des commandes internes au travers de l'extension LastPass. Ces commandes sont utilisées par les extensions pour copier des mots de passe ou compléter des champs de formulaires en se servant d'informations utilisateurs stockées sur leurs systèmes.

Une double dose de vulnérabilité pour l'extension LastPass pour Firefox

Si le composant binaire de l'extension est installé, la commande peut être utilisée pour exécuter du code arbitraire sur l'ordinateur, a indiqué Tavis Ormandy. Les développeurs de LastPass ont déployé une solution de contournement pour prévenir un exploit et prévoient la mise en oeuvre d'un correctif complet sous peu.

Mardi, une autre vulnérabilité a été découverte dans l'extension Firefox qui, selon les développeurs de LastPass, était liée à la précédente. Celle-ci a été corrigée sur la nouvelle version de l'extension pour le navigateur de Mozilla, 4.1.36a, lancée mercredi. « Nous n'avons aucune indication d'une exploitation de ces vulnérabilités mais nous procédons à une analyse complète de la situation pour le confirmer », a indiqué LastPass dans un billet de blog. « A ce stade, aucun changement de mots de passe n'est nécessaire. »