Update March 25, 2017 (5:00pm): Our team is currently investigating a new report by Tavis Ormandy and will update our community when we have more details. Thank you.
Rapport d'incident : 22 mars 2017 (14h30)
Nous souhaitons continuer à informer notre communauté sur les vulnérabilités récemment rapportées par Tavis Ormandy, un chercheur en sécurité de l'équipe Project Zero de Google.
Ce billet va être long, donc vous pouvez prendre connaissance des points essentiels dans la synthèse, ou plonger dans les détails dans la description exhaustive ci-dessous.
Synthèse
- Deux vulnérabilités ont été récemment identifiées par le chercheur en sécurité Tavis Ormandy
- À ce jour, notre enquête n'a pas révélé la perte ou l'exposition de données utilisateur sensibles
- Les extensions ont toutes été corrigées et mises à disposition de nos utilisateurs
- Nos apps mobiles pour Android et iOS ne sont pas affectées
- Il n'est pas nécessaire de modifier votre mot de passe maître
- Il n'est pas nécessaire de modifier les mots de passe d'accès aux sites
- Vérifiez que vous utilisez les dernières versions
- La mise à jour sera automatique pour la plupart des utilisateurs, mais vous pouvez toujours télécharger les dernières versions sur com/download
- Veuillez vérifier votre version dans Icône LastPass > Plus d'options > À propos
- Firefox : 4.1.36
- Chrome : 4.1.43.82
- Edge : 4.1.30 (en attente d'approbation par Microsoft)
- Opera : 4.1.28 (en attente d'approbation par Opera)
Ce qu'il s'est passé
La semaine dernière, Tavis Ormandy, un chercheur de l'équipe Project Zero de Google, nous a signalé
deux vulnérabilités affectant plusieurs extensions LastPass pour navigateurs. Les problèmes rapportés affectent tant les utilisateurs grand public que professionnels.
Pour exploiter les vulnérabilités rapportées, un pirate doit d'abord réussir à convaincre l'utilisateur de consulter un site web malveillant. Une fois sur le site, Tavis a montré comment un pirate pouvait faire des appels à l'API LastPass, ou dans certains cas exécuter du code aléatoire, tout en passant pour un tiers de confiance. Le pirate peut ainsi potentiellement récupérer et exposer des informations du compte LastPass, comme les identifiants de connexion de l'utilisateur.
Bug de détournement de message dans Firefox 3.3.2
Ce qui a été rapporté :
En exploitant notre processus d'analyse d'URL dans la version pour Firefox 3.3.2, un site web malveillant pouvait se faire passer pour un site légitime et inciter le module LastPass à fournir les identifiants d'accès de l'utilisateur.
Ce bug a été
signalé à notre équipe l'année dernière et corrigé à l'époque. Toutefois, ce correctif n'a pas été répercuté vers notre ancienne branche Firefox 3.3.x, dont l'obsolescence est programmée pour avril.
Ce qu'il faut savoir :
- Nous avons récemment annoncé l'obsolescence de la branche 3.x de Firefox avant ce signalement.
- Nous vous conseillons vivement de faire la mise à jour vers la version Firefox 4.1.36 depuis com/download. Les utilisateurs peuvent également passer à la version Firefox 3.3.4, mais comme indiqué plus haut, la version 3.x de LastPass sera mise à la retraite dans les prochaines semaines.
Bug de connecteur web
Ce qui a été rapporté :
Un
problème dans l'architecture d'inscription des nouveaux utilisateurs a affecté les clients dans lesquels ce code est présent (Chrome, Firefox, Edge). Un site malveillant pouvait tromper LastPass en se faisant passer pour un tiers de confiance, et ainsi voler les identifiants d'accès au site. Les utilisateurs exécutant le composant LastPass binaire (moins de 10 % des utilisateurs LastPass) étaient exposés à une exploitation distante supplémentaire s'ils se rendaient sur un site malveillant.
Ce bug a été détecté en août 2016 lorsque nous avons sorti cette fonctionnalité d'inscription expérimentale pour nos utilisateurs grand public. Toutefois, le code est présent dans tous les clients LastPass pour Chrome, Firefox et Edge.
Dès qu'elle a été informée de la faille, l'équipe LastPass a immédiatement fermé le service vulnérable, puis a entamé le travail de mise à jour de tous les clients concernés.
Pendant que nous corrigions nos clients, Tavis
a tweeté (tweet supprimé depuis) à propos d'un problème supplémentaire. Pour être clair, il s'agissait du même problème sur deux navigateurs différents. Cela a entraîné une certaine confusion sur le nombre de problèmes et l'état des correctifs.
Ce qu'il faut savoir :
- Nous avons soumis des mises à jour de tous les clients affectés afin de supprimer intégralement cette vulnérabilité, et les avons rendus disponibles pour tous les utilisateurs.
- Les versions pour Chrome et Firefox sont disponibles maintenant, tandis que celles pour Edge et Opera sont en attente d'approbation sur leurs boutiques.
- Dans le cadre de ce processus, nous avons mené une analyse exhaustive de toutes les autres extensions (et de nos programmes d'installation) qui exploitent ce code.
Historique complet (GMT-5) :
Bug de détournement de message dans Firefox 3.3.2
- 10 mars : LastPass annonce l'obsolescence des versions Firefox 3.3.x
- 15 mars, 22h45 : Bug de détournement de message dans Firefox 3.3.2 annoncé
- 15 mars, 22h48 : LastPass reçoit les détails du bug Firefox 3.3.2 et lance une investigation
- 17 mars, 8h43 : LastPass envoie un correctif à Mozilla avec Firefox 3.3.4
Bug de connecteur web
- 20 mars, 19h20 : Bug de connecteur web Chrome 4.1.42 annoncé
- 20 mars, 19h36 : Enquête de sécurité transversale lancée par LastPass
- 21 mars, 0h15 : LastPass ferme le service incriminé côté serveur
- 21 mars, 7h04 : LastPass annonce qu'un contournement côté serveur est en place et que l'analyse du code pour résoudre les problèmes côté client est en cours
- 22 mars, 0h10 : LastPass sort la version Firefox 4.1.36 avec correctif
- 22 mars, 12h07 : LastPass sort la version Chrome 4.1.43.82 avec correctif
- 22 mars, 13h55 : LastPass soumet la version Edge 4.1.30
- 22 mars, 14h49 : LastPass sort la version Opera 4.1.28 avec correctif sur com/download; en attente de validation sur le store
Rappels concernant les bonnes pratiques en matière de sécurité personnelle
Nous savons que les utilisateurs de LastPass s'efforcent de suivre les bonnes pratiques, mais il n'est jamais inutile de rappeler comment protéger votre poste et vos données :
- Soyez attentif aux attaques d'hameçonnage. Ne cliquez pas sur les liens provenant de personnes que vous ne connaissez pas ou qui semblent hors sujet provenant de contacts et sociétés de confiance.
- Utilisez un mot de passe unique et différent pour chaque compte en ligne.
- Utilisez un mot de passe maître fort et sécurisé pour votre compte LastPass, et ne le divulguez jamais à personne, y compris à nous-mêmes.
- Activez l'authentification à deux facteurs pour LastPass et d'autres services tels que votre banque, votre compte de messagerie, Twitter, Facebook, etc.
- Maintenez votre ordinateur en bon état en utilisant un antivirus et en mettant à jour vos logiciels.
Suite des événements
Pour empêcher que ces problèmes se reproduisent, nous sommes en train de revoir et de renforcer nos processus d'analyse de code et de sécurité, surtout lorsqu'il s'agit de fonctionnalités nouvelles et expérimentales.
Il va sans dire que la sécurité est au cœur de nos préoccupations. Et nous visions la transparence dans nos réactions à ces problèmes. Nous accordons beaucoup de valeur au travail effectué par Tavis, Project Zero et les autres chercheurs et hackers éthiques. Nous profitons tous de ce modèle de sécurité lorsqu'il permet de divulguer des bugs de façon responsable, et nous sommes confiants qu'à la suite de ces événements, LastPass n'en sortira que plus fort. Nous invitons tous les chercheurs à contribuer à notre programme de récompense bug bounty sur
https://bugcrowd.com/lastpass.
———-
22 mars 2017 (11h12)
Durant la semaine écoulée, nous avons travaillé avec le chercheur en sécurité Tavis Ormandy de Google pour analyser et corriger les vulnérabilités signalées. Nous sommes désolés d'avoir tardé à réagir, mais nous menions une enquête approfondie afin de pouvoir vous fournir autant de détails que possible. Bien que nous ferons bientôt un bilan post-mortem, nous voulions fournir un résumé à notre communauté.
Ce qu'il s'est passé
Durant la nuit du 20 mars, nous avons reçu un rapport concernant un problème lié à la version 4.1.42.80 de notre extension Chrome. Nous avons immédiatement enquêté, puis nous avons publié un contournement côté serveur quelques heures plus tard. La faille concernait tous les clients LastPass – Chrome, Firefox, Edge – dans lesquels une fonction expérimentale d'inscription des nouveaux utilisateurs était utilisée.
Plus tard, le 21 mars, un autre rapport est arrivé concernant la version 4.1.35a pour Firefox. Il s'agissait en fait essentiellement de la même vulnérabilité que celle du jour précédent, mais qui affectait le module externe 4.x pour Firefox. Bien que le problème aurait été réglé par la version corrigée qui devait suivre notre contournement, ce rapport a été reçu avant que nous puissions la sortir. Nous avons sorti une mise à jour, la version Firefox 4.1.36a, à environ 12h15 GMT-5 aujourd’hui pour répondre spécifiquement à ce signalement.
Les correctifs sont en cours d'envoi à tous les utilisateurs, et la mise à jour devrait être automatique pour la majorité d'entre eux.
Nous n'avons aucune indication que ces vulnérabilités aient été exploitées dans la nature, mais nous menons une enquête approfondie pour nous en assurer. Nous publierons bientôt un compte-rendu plus détaillé des événements, ainsi que tout ce que notre communauté doit savoir. Pour l'heure, aucun changement de mot de passe par nos utilisateurs n'est nécessaire.