Comment vous protéger de la nouvelle menace de piratage LastPass

2024 Auteur: Malcolm Clapton | [email protected]. Dernière modifié: 2023-12-17 03:55

Hier, un véritable moyen a été découvert pour voler des données du populaire gestionnaire de mots de passe LastPass. Nous vous recommandons de lire cet article pour ne pas tomber dans l'appât.

Nous utilisons de nombreux services en ligne et applications Web, chacun nécessitant des identifiants et des mots de passe différents pour des raisons de sécurité. Il est impossible de tous les garder en tête, c'est pourquoi les gestionnaires de mots de passe sont très répandus. Ils offrent un stockage fiable et une utilisation pratique des identifiants et des mots de passe non seulement pour les services en ligne, mais également pour les systèmes de paiement, les comptes bancaires, etc. Par conséquent, la fuite ou le craquage d'un tel gestionnaire de mots de passe peut devenir un gros problème pour de nombreux utilisateurs.

L'une des applications les plus populaires de ce type est LastPass. C'est une très bonne solution qui a résisté à l'épreuve du temps et à de nombreuses attaques de pirates. Cependant, hier, le spécialiste de la sécurité informatique Sean Cassidy a découvert la possibilité d'une attaque de phishing sur LastPass. Il l'a habilement nommé LostPass (mots de passe perdus).

En bref, la vulnérabilité trouvée ressemble à ceci. Tout d'abord, l'attaquant vous attire sur son site, qui affiche une fausse (!) Notification indiquant que votre session a expiré et doit être à nouveau connecté. Vous avez probablement déjà vu des notifications similaires de LastPass.

LastPass demande de se connecter à nouveau

Étant donné que la notification est fausse, cliquer sur le bouton Réessayer vous amènera à une page spécialement conçue qui ressemble exactement à un formulaire de connexion et de mot de passe LastPass standard. Il aura même une adresse presque identique à celle des pages de service de navigateur ouvertes par les extensions installées. À l'exception d'un petit détail que j'ai mis en évidence dans la capture d'écran. Je suis sûr que la plupart des utilisateurs ne prêteront aucune attention à une telle bagatelle.

Ensuite, vous entrez votre nom d'utilisateur et votre mot de passe sur cette page pour vous connecter à LastPass, et ils tombent immédiatement entre les mains de pirates. De ce fait, ces derniers ont un accès complet à tous vos sites et identifiants. L'attaque fonctionne même si vous avez activé l'authentification à deux facteurs, seule la séquence d'actions du pirate informatique sera un pas de plus. Vous pouvez en savoir plus sur le fonctionnement de LostPass (en anglais).

Bien sûr, vous vous demandez comment vous protéger de ce danger. Jusqu'à ce que les développeurs de LastPass prennent des mesures pour empêcher de telles attaques de phishing, les utilisateurs peuvent désactiver temporairement l'extension de navigateur de ce service. Oui, cela n'est pas pratique et vous obligera à copier manuellement les mots de passe requis à partir de la page Web LastPass. Une option plus radicale consiste à trouver une alternative équivalente pour stocker les mots de passe et les données confidentielles.

Utilisez-vous toujours LastPass ou êtes-vous passé à un autre gestionnaire de mots de passe ?