LastPass : le gestionnaire de mots de passe pas si sécurisé que ça
Sean Cassidy, un expert en sécurité, a démontré que la sécurité du célèbre gestionnaire de mots de passe LastPass est défaillante. Ses utilisateurs pourraient être victimes de phishing.
Afin de ne pas avoir à mémoriser tous ses mots de passe, il est possible d’utiliser un gestionnaire de mots de passe pour les stocker. LastPass est un gestionnaire de mots de passe très utilisé, cependant il ne serait pas si sûr que ça et en ayant recours au phishing des pirates pourraient assez facilement récupérer les données des utilisateurs. Le site a réagi et aurait depuis renforcé sa sécurité.
LastPass : le gestionnaire de mots de passe serait vulnérable au phishing
C’est lors de la conférence Shmoocon 2016 que Sean Cassidy, un expert en sécurité, a fait la démonstration qu’une attaque par phishing du service LastPass n’était pas très compliquée. L’attaque nommée “LostPass”, permet de récupérer ainsi le mot de passe maître des utilisateurs de LastPass.
L’idée est d’attirer l’utilisateur vers un site web malveillant, ensuite, un pop-up informe alors l’utilisateur qu’il a été déconnecté du service et l’envoie vers une fenêtre de login très similaire à celle qu’utilise LastPass où l’utilisateur va entrer de nouveau son nom d’utilisateur et son mot de passe. Le pirate pourra alors récupérer tranquillement les informations.
Cette technique fonctionne également en cas de double authentification, le pirate pouvant là aussi utiliser un faux écran. Il aura alors toutes les informations nécessaires pour accéder à la base de données de tous les mots de passe de l’utilisateur berné.
LostPass revoit ses mesures de sécurité
Depuis la publication de l’article de Sean Cassidy, LostPass a réagi et renforcé la sécurité de l’accès à son service de gestion de mots de passe. Ainsi, les utilisateurs essayant de se connecter depuis une machine ou une adresse IP inconnue, recevront un email et seront invités à confirmer leur identité, même ceux ayant activé l’authentification à deux facteurs.
Cette mesure “réduit considérablement la menace de ce genre d’attaques” déclarait LastPass dans un billet de blog en réponse à l’expert.