Arroseur arrosé

18 septembre 2019 07:21; Act: 18.09.2019 09:52 Print

Un gestionnaire de mots de passe a connu un bug

LastPass a mis à jour son extension pour navigateurs web, à la suite de la découverte d'une faille de sécurité. Des mots de passe pouvaient théoriquement être récupérés.

storybild

Rien ne prouve que la faille de sécurité ait été exploitée. (photo: Pixabay)

Sur ce sujet
Une faute?

C'est le comble pour un service censé sécuriser les données d'authentification. À cause d'un bug, le gestionnaire de mots de passe LastPass pouvait permettre à des sites web malveillants de récupérer le dernier mot de passe utilisé sur les navigateurs Chrome et Opera. C'est ce qu'a discrètement signalé à l'entreprise Tavis Ormandy, chercheur en sécurité de l'équipe Project Zero de Google, avant de rendre sa découverte publique.

Entre-temps, LastPass a déployé, la semaine dernière, une mise à jour automatique (version 4.33) de son extension pour tous les navigateurs web. La société a toutefois minimisé la portée de la faille, dont la gravité est pourtant jugée «élevée» par l'expert de Google. Un utilisateur devait remplir un mot de passe avec LastPass, visiter un site malveillant et cliquer à plusieurs reprises pour que ses données soient exposées, selon la firme. De plus, rien ne prouve que la faille ait été exploitée.

Malgré ce bug, utiliser un gestionnaire de mots de passe, qui permet de créer des codes d'identification forts et différents pour chaque compte, reste une bonne pratique pour protéger ses données en ligne, rappellent les sites spécialisés. De même que l'activation de l'authentification à deux facteurs.

(L'essentiel/man)

Vous venez de publier un commentaire sur notre site et nous vous en remercions. Les messages sont vérifiés avant publication. Afin de s’assurer de la publication de votre message, vous devez cependant respecter certains points.

«Mon commentaire n’a pas été publié, pourquoi?»

Notre équipe doit traiter plusieurs milliers de commentaires chaque jour. Il peut y avoir un certain délai entre le moment où vous l’envoyez et le moment où notre équipe le valide. Si votre message n’a pas été publié après plus de 72h d’attente, il peut avoir été jugé inapproprié. L’essentiel se réserve le droit de ne pas publier un message sans préavis ni justification. A l’inverse, vous pouvez nous contacter pour supprimer un message que vous avez envoyé.

«Comment s’assurer de la validation de mon message?»

Votre message doit respecter la législation en vigueur et ne pas contenir d’incitation à la haine ou de discrimination, d’insultes, de messages racistes ou haineux, homophobes ou stigmatisants. Vous devez aussi respecter le droit d’auteur et le copyright. Les commentaires doivent être rédigés en français, luxembourgeois, allemand ou anglais, et d’une façon compréhensible par tous. Les messages avec des abus de ponctuation, majuscules ou langages SMS sont interdits. Les messages hors-sujet avec l’article seront également supprimés.

Je ne suis pas d’accord avec votre modération, que dois-je faire?

Dans votre commentaire, toute référence à une décision de modération ou question à l’équipe sera supprimée. De plus, les commentateurs doivent respecter les autres internautes tout comme les journalistes de la rédaction. Tout message agressif ou attaque personnelle envers un membre de la communauté sera donc supprimé. Si malgré tout, vous estimez que votre commentaire a été injustement supprimé, vous pouvez nous contacter sur Facebook ou par mail sur feedback@lessentiel.lu Enfin, si vous estimez qu’un message publié est contraire à cette charte, utilisez le bouton d’alerte associé au message litigieux.

«Ai-je le droit de faire de la promotion pour mes activités ou mes croyances?»

Les liens commerciaux et messages publicitaires seront supprimés des commentaires. L’équipe de modération ne tolérera aucun message de prosélytisme, que ce soit pour un parti politique, une religion ou une croyance. Enfin, ne communiquez pas d’informations personnelles dans vos pseudos ou messages (numéro de téléphone, nom de famille, email etc).

L'espace commentaires a été désactivé
L'espace commentaires des articles de plus de 48 heures a été désactivé en raison du très grand nombre de commentaires que nous devons valider sur des sujets plus récents. Merci de votre compréhension.

Les commentaires les plus populaires

  • ciccioman le 18.09.2019 23:29 via via Mobile Report dénoncer ce commentaire

    S’appelle Keepass et oui il est sûr mais pas pratique du tout.

  • Attention le 18.09.2019 08:43 Report dénoncer ce commentaire

    Les gestionnaires de mots de passe en ligne ne sont PAS une bonne pratique. En gros pour se rappeler de vos mots de passe vous les stockez sur Internet... Les seuls applications valides sont celle qui fonctionnent hors-ligne (KeyPass est actuellement ce qui se fait de mieux).

  • Cancoillotte le 18.09.2019 13:04 Report dénoncer ce commentaire

    C'est pour cela que je n'utilise pas ce genre se service, mais un générateur (passwordmaker) qui ne stocke aucun mot de passe. Un mot de passe fort unique est généré par une combinaison du nom du site et d'un mot de passe maitre.

Les derniers commentaires

  • ciccioman le 18.09.2019 23:29 via via Mobile Report dénoncer ce commentaire

    S’appelle Keepass et oui il est sûr mais pas pratique du tout.

  • Cancoillotte le 18.09.2019 13:04 Report dénoncer ce commentaire

    C'est pour cela que je n'utilise pas ce genre se service, mais un générateur (passwordmaker) qui ne stocke aucun mot de passe. Un mot de passe fort unique est généré par une combinaison du nom du site et d'un mot de passe maitre.

  • Attention le 18.09.2019 08:43 Report dénoncer ce commentaire

    Les gestionnaires de mots de passe en ligne ne sont PAS une bonne pratique. En gros pour se rappeler de vos mots de passe vous les stockez sur Internet... Les seuls applications valides sont celle qui fonctionnent hors-ligne (KeyPass est actuellement ce qui se fait de mieux).