Les gestionnaires de mots de passe sont-ils infaillibles ?

Publié le

La sécurité n’a jamais autant été au centre de nos préoccupations. Avec toujours plus de données personnelles présentes dans nos appareils connectés, il convient d’être très attentif quand on décide de faire confiance à des logiciels pour nous aider. Et si les antivirus sont les programmes les plus indispensables que l’on peut trouver sur un ordinateur, de plus en plus de personnes décident d’utiliser des gestionnaires de mots de passe. Ainsi, nos données sont sécurisées et plus besoin de s’en souvenir, quelle aubaine !

Une option qui est devenue un besoin

Il y a encore quelques années, les gestionnaires de mots de passe n’étaient pas très connus. Les utilisateurs géraient eux-mêmes leurs comptes, créaient des mots de passes et les mémorisaient Aujourd’hui, c’est un peu différent. Entre les réseaux sociaux, les forums, les sites marchands et j’en passe, chaque utilisateur dispose d’un nombre toujours plus grand de mots de passes. Et c’est là que des services comme 1Password, LastPass ou DashLane prennent le relai.

L’exemple LastPass : quand les failles s’en mêlent

Les gestionnaires de mots de passes sont peut-être pratiques mais ils doivent surtout être sécurisés car on leur confit tout de même une grande partie de nos données personnelles. Et comme tous les logiciels, quelques failles peuvent apparaître et servir à duper les utilisateurs. C’est ce qu’a démontré un chercheur en sécurité du nom de Sean Cassidy lors de la Shmoocon 2016 qui s’est tenue du 15 au 17 janvier dernier. Celui-ci a démontré sur son blog que le logiciel LastPass pouvait être trompé et que les hackers pouvaient obtenir le mot de passe maître d’un utilisateur via une simple campagne de phishing. De cette manière, il est alors en possession de l’ensemble des données rattachées au compte de l’utilisateur.

Pour ce faire, Sean Cassidy a démontré que les hackers étaient en mesure d’envoyer des notifications via Chrome puisque le navigateur propose cette fonctionnalité. En envoyant un message expliquant que la session a été déconnectée et si l’utilisateur clique sur celle-ci, il est renvoyé vers une page lui proposant de s’identifier, une page à l’identique de celle de LastPass mais qui est en fait un faux : il suffit de regarder le lien de la page pour s’en rendre compte.

LastPass notification

Une fausse notification de LastPass qui utilise le navigateur Chrome

Ainsi, si vous renseignez vos identifiants sur cette page, ils arrivent directement dans les griffes du hacker. Pire, si vous avez opté pour une identification en deux étapes, le site malicieux utilisera l’API de LastPass pour vous proposer une page similaire où vous pourrez rentrer votre code. Ainsi, le hacker a toutes les informations nécessaires pour faire ce qu’il veut de votre compte et accéder à tous les mots de passes qui y sont enregistrés.

LastPass Identification

L’utilisateur est alors renvoyé sur cette page : regardez bien l’URL

Quoi qu’il en soit, les équipes de LastPass ont été prévenues en amont du problème et celui-ci a d’ores et déjà été colmaté. En effet, le logiciel demande maintenant une confirmation par email lors d’une nouvelle connexion.

LastPass Double Authentification

Reproduction de la page de double authentification de LastPass

Alors, qui est le coupable ?

Si LastPass est ici pointé du doigt, il ne faut pas oublier que cette tromperie part de Google Chrome. En effet, ce sont les notifications du navigateur qui permettent de duper l’utilisateur. En effet, Sean Cassidy explique n’avoir pas réussi à reproduire le bug avec Mozilla Firefox.

Si l’on ne peut que saluer la réactivité des équipes de LastPass, c’est aussi l’erreur de l’utilisateur qui est la cause du problème. Il est en effet difficile pour lui de faire la différence entre une alerte envoyée par le logiciel une imitation du navigateur.

Quoi qu’il en soit, les gestionnaires de mots de passes restent très sécurisés et ce genre de faille n’est, heureusement pas monnaie courante même si la prudence est toujours de mise.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Autres articles sur le même sujet