Mises à jour de sécurité LastPass

HORODATAGE : 13:15 ET

La sécurité est au cœur de nos préoccupation chez LastPass. Notre première priorité est toujours de répondre et d’apporter une solution aux signalements aussi rapidement que possible.

Suite aux actualités récentes, nous souhaitons traiter plus en détail deux signalements de sécurité parvenus à notre équipe. Le premier signalement est arrivé hier, l’autre a été envoyé de façon responsable et corrigé il y a plus d’un an. Il est intéressant de noter que les deux exploits exigent de tromper un utilisateur par une attaque d’hameçonnage pour lui faire consulter un site web malveillant.

Le premier signalement est arrivé de façon responsable à notre équipe il y a plus d’un an, de la part du chercheur en sécurité Mathias Karlsson, il a été corrigé à l’époque. M. Karlsson a récemment publié ses conclusions sur le bogue d’analyse des URL. Tous les clients sur navigateur ont été mis à jour et M. Karlsson a confirmé notre correctif à l’époque, ce qui n’exige aucune action de nos utilisateurs.

Le deuxième signalement est arrivé hier de la part du chercheur de l’équipe Sécurité de Google, Tavis Ormandy, qui nous a contactés pour signaler un bogue de piratage de messages concernant le module complémentaire LastPass pour Firefox. Un attaquant devrait d’abord réussir à convaincre un utilisateur de LastPass de consulter un site web malveillant. M. Ormandy a alors démontré que le site web pourrait ensuite exécuter des actions LastPass en arrière-plan sans que l’utilisateur le sache, par exemple pour supprimer des éléments. Comme indiqué ci-dessous, ce problème a été totalement traité et une mise à jour avec correctif a été envoyée à tous les utilisateurs de LastPass 4.0 sur Firefox.

Recommandations complémentaires

Nous savons que la communauté LastPass est très consciente de la sécurité, mais LastPass insiste pour rappeler les recommandations de meilleures pratiques générales de sécurité en ligne :

  • Soyez attentif aux attaques d’hameçonnage. Ne cliquez pas sur les liens provenant de personnes que vous ne connaissez pas ou qui semblent hors sujet provenant de contacts et sociétés de confiance.
  • Utilisez un mot de passe unique et différent pour chaque compte en ligne.
  • Utilisez un mot de passe maître fort et sécurisé pour votre compte LastPass, et ne le divulguez jamais à personne, y compris nous-même.
  • Activez l’authentification à deux facteurs pour LastPass et d’autres services tels que votre banque, votre compte de messagerie, Twitter, Facebook, etc.
  • Conservez votre machine propre en utilisant un antivirus et en mettant à jour vos logiciels.

Merci encore à Tavis et Mathias, ainsi qu’aux autres membres de la communauté de la sécurité, pour leur signalement responsable. Nous apprécions leur travail qui nous aide à bâtir un produit plus robuste et plus sûr.

____

Nous souhaitons partager rapidement une actualité avec la communauté LastPass concernant des correctifs importants apportés en réponse à deux signalements de sécurité récents. Notre équipe a travaillé directement avec les chercheurs en sécurité pour vérifier les signalements reçus et publier un correctif pour les utilisateurs LastPass.

Le signalement récent ne concerne que les utilisateurs de Firefox. Si vous utilisez LastPass 4.0 ou ultérieur avec Firefox, une mise à jour sera envoyée par votre navigateur avec le correctif dans la version 4.1.21a. Pour prendre les devants et mettre à jour votre client vous-même, utilisez le lien de téléchargement : https://lastpass.com/lastpassffx. Vous pouvez vérifier la version que vous utilisez dans votre module complémentaire de navigateur LastPass, dans le menu Plus d’options > À propos de LastPass. Si vous utilisez LastPass 3.0, vous n’êtes pas concerné et n’avez pas besoin de mise à jour.

Les autres navigateurs ne sont pas concernés par ce signalement, les utilisateurs n’ont aucune action à entreprendre pour les autres navigateurs.

Comme toujours, nous apprécions le travail de la communauté de la sécurité qui met à l’épreuve notre produit pour s’assurer que nous offrons un service parfaitement sûr à nos utilisateurs. Vous trouverez bientôt plus de détails sur ces correctifs ici même.