Arroseur arroséUn gestionnaire de mots de passe a connu un bug
LastPass a mis à jour son extension pour navigateurs web, à la suite de la découverte d'une faille de sécurité. Des mots de passe pouvaient théoriquement être récupérés.
Rien ne prouve que la faille de sécurité ait été exploitée.
C'est le comble pour un service censé sécuriser les données d'authentification. À cause d'un bug, le gestionnaire de mots de passe LastPass pouvait permettre à des sites web malveillants de récupérer le dernier mot de passe utilisé sur les navigateurs Chrome et Opera. C'est ce qu'a discrètement signalé à l'entreprise Tavis Ormandy, chercheur en sécurité de l'équipe Project Zero de Google, avant de rendre sa découverte publique.
Entre-temps, LastPass a déployé, la semaine dernière, une mise à jour automatique (version 4.33) de son extension pour tous les navigateurs web. La société a toutefois minimisé la portée de la faille, dont la gravité est pourtant jugée «élevée» par l'expert de Google. Un utilisateur devait remplir un mot de passe avec LastPass, visiter un site malveillant et cliquer à plusieurs reprises pour que ses données soient exposées, selon la firme. De plus, rien ne prouve que la faille ait été exploitée.
Malgré ce bug, utiliser un gestionnaire de mots de passe, qui permet de créer des codes d'identification forts et différents pour chaque compte, reste une bonne pratique pour protéger ses données en ligne, rappellent les sites spécialisés. De même que l'activation de l'authentification à deux facteurs.
(L'essentiel/man)