LastPass a eu chaud mais a priori plus de peur que de mal. Chercheur en sécurité et membre de Project Zero de Google, Tavis Ormandy - encore lui - a débusqué trois vulnérabilités affectant cette solution de gestion de mots de passe. Elles ont été rapportées entre le 15 et le 21 mars.
Toutes ces failles ont été corrigées avant une divulgation publique, sachant que Project Google suit une politique de divulgation au-delà d'un délai de 90 jours sans patch. LastPass n'a constaté aucune compromission et les utilisateurs n'ont pas besoin de changer leur mot de passe maître ou les mots de passe pour s'identifier à des sites.
Non critiques, deux failles résidaient dans l'extension pour Firefox et une autre dans LastPass pour Firefox. Critique, une troisième faille touchait les extensions pour le navigateur installées pour Google Chrome, Firefox, Microsoft Edge et Opera.
Selon Project Zero, l'exploitation de cette vulnérabilité critique permettait un accès complet à des commandes internes qui sont utilisées par l'extension pour copier des mots de passe, remplir des formulaires Web avec des mots de passe. Tavis Ormandy ajoute qu'il était possible d'exécuter du code arbitraire sur l'ordinateur.
Après avoir déployé une mesure de contournement côté serveur afin de prévenir une exploitation, les extensions ont bénéficié d'une mise à jour. LastPass publie un billet de blog au sujet de cette péripétie (pour deux failles dont la critique).
Very impressed with how fast @LastPass responds to vulnerability reports. If only all vendors were this responsive ?
— Tavis Ormandy (@taviso) 22 mars 2017
Tavis Ormandy salue la réactivité de LastPass, en soulignant que ce n'est malheureusement pas toujours le cas de tous les éditeurs. Un message caché pour Microsoft qui a été épinglé le mois dernier par Project Zero ?