L’application de gestion de mots de passe LastPass a été hackée. 2 experts viennent d’en faire la démonstration.
La conférence Black Hat est un rendez-vous incontournable pour apprendre de nouvelles révélations en matière de sécurité informatique. L’édition européenne de 2015 ne déroge pas à la règle: 2 experts viennent d’y expliquer comment ils ont réussi à accéder à la base de données des mots de passe de LastPass, l’un des services en ligne leader dans la protection des… mots de passe. Averti, LastPass a déjà mis en place les correctifs nécessaires, et a pu rassurer ses utilisateurs à travers le monde.
Pour arriver à leurs fins, les deux spécialistes de sécurité Alberto Garcia et Martin Vigo ont exploité des failles dans les processus de récupération des comptes des clients de LastPass. La procédure se base sur un « One Time Password » utilisé par défaut, qui est malheureusement accessible en initiant de fausses requêtes de récupération. Reste alors à casser la clé de chiffrement, un jeu d’enfant pour les deux hackers, pour accéder à la base de données de LastPass. La faille issue de l’ouverture de fausses sessions a été fermée par le gestionnaire de mots de passe, qui a aussi renforcé la sécurité des authentifications des utilisateurs, par l’utilisation obligatoire de codes envoyés par SMS. A la fin de leur démonstration lors de la conférence Black Hat Europe 2015, Alberto Garcia et Martin Vigo ont néanmoins loué la réactivité de LastPass, qui a apporté ces correctifs moins de 72 heures après leurs révélations.
Photo : © LastPass.
Ajouter un commentaire