Blog
Actualité
Actualité de la sécurité

La faille "FREAK" : Ce que vous devez savoir.

Amber SteelMarch 06, 2015
En début de semaine, une équipe de chercheurs a découvert une faille de sécurité majeure, surnommée FREAK, qui met en danger les connexions Web sécurisées et pourrait potentiellement exposer des informations sensibles. Bien que LastPass ne soit pas été affecté par cette vulnérabilité, il est crucial que les utilisateurs de LastPass mettent à jour leurs navigateurs avec les correctifs dès qu'ils seront disponibles. Voici ce que vous devez savoir:

Qu'est-ce-que la vulnérabilité FREAK ?

La faille FREAK affecte les connections sécurisées SSL/TLS, le protocole qui crée une connexion sécurisée entre vous et un site Web. La connexion sécurisée est créé lorsque vous vous connectez avec HTTPS et que vous voyez un petit cadenas dans la barre d'adresse de votre navigateur. Le “cadena” signifie que vos données personelles sont encryptées lors de l'envoi vers le site web. FREAK, cependant, peut être exploité par une attaque de type "man-in-the-middle". Selon freakattack.com, "Elle permet à un pirate d'intercepter les connexions HTTPS entre un appareil vulnérable et les serveurs et les forcer à utiliser une méthode de chiffrement désuète, que le pirate peut casser pour voler ou manipuler des données sensibles ". La faille FREAK affecte la majorité des principaux navigateurs:
  • Internet Explorer
  • Chrome sur Android et Mac OS – Patch disponible sur Mac OS
  • Safari sur Mac OS et iOS – Patch attendu la semaine prochaine
  • Navigateur Stock Android
  • Navigateur BlackBerry
  • Opera (Mac OS, Linux)
Vous pouvez vérifier si votre ordinateur ou votre navigateur sont affectés en visitant https://freakattack.com. Ils ont également fourni une liste Alexa des domaines qui ont été affectés par FREAK.

Comment cela affecte-t'il LastPass?

Les utilisateurs de Lastpass sont en sécurité. Nos serveurs n'étaient pas vulnérables à la faille FREAK. Comme toujours, votre coffre-fort LastPass est sûr, et votre mot de passe maître n'est jamais transmis. LastPass encrypte également toutes vos données localement avec AES-256 avant de les synchroniser en toute sécurité. Les vulnérabilités de ce genre sont exactement ce pourquoi nous ne transmettons jamais votre mot de passe maître. Pour ceux d'entre-vous qui utilisent les navigateurs intégrés sur les applications mobiles de LastPass, ils utilisent la plateforme par défaut des navigateurs, qui sont connues pour êtres affectées. Nos navigateurs intégrés seront mis à jour lorsque ces plates-formes émettront un correctif. Pendant ce temps, vous pouvez naviguer en toute sécurité avec Firefox Mobile. La communication entre nos applis mobiles et nos serveurs ne sont pas vulnérables, ce qui signifie qu'il ne est pas possible d'intercepter les données de votre coffre-fort en allant de nos serveurs sur ces appareils mobiles et vice et versa.

Actions à prendre:

Mettre à jour avec tous les correctifs lorsque ceux-ci sont disponibles. Microsoft, Apple, et Google vont tous publier des correctifs dans les prochains jours, il est donc essentiel de mettre à jour votre système lorsque ces correctifs sont disponibles. Utilisez Firefox pour naviguer en toute sécurité. Jusqu'à ce que ces correctifs soient disponibles pour les navigateurs affectés mentionnés ci-dessus, vous pouvez utiliser Firefox sur iOS, Android, et Mac OS pour naviguer en toute sécurité sur le Web et vous connecter à vos comptes en ligne. Remplacer les mots de passe vulnérables. Bien qu'il soit peu probable que vous ayez été attaqué, une fois que les correctifs auront été apportés sur les appareils et sites Web, c'est peut-être la bonne occasion pour changer les mots de passe des comptes auxquels vous avez accédé depuis l'un de vos appareils qui se sont avérés vulnérables. Vous pouvez également faire le Challenge de Sécurité Lastpass pour examiner la force de vos mots de passe. Notre fonction de Le Changement automatique de mots de passe vous aidera à remplacer vos mots de passe automatiquement. Il est important d'utiliser un mot de passe différent, et fort pour chaque site, de sorte qu'un mot de passe volé sur un site ne puisse être réutilisé pour se connecter à l'un de vos autres comptes. Comme toujours, nous surveillons la situation telle qu'elle évolue et tiendons à jour notre communauté si besoin.