LostPass, une simple attaque de Phishing pour LastPass
Français
LastPass fait de nouveau parler de lui. Un chercheur, Sean Cassidy, a développé LostPass, une simple méthode de Phishing qui permet de pirater toutes les informations d’un compte LastPass.
Suivez-nous sur notre page Facebook et notre canal Telegram
Sean Cassidy nous apprend une nouvelle attaque par Phishing sur LastPass qu’il a appelé LostPass. Ce chercheur a remarqué que de temps en temps, LastPass lui affichait une notification que sa session avait expiré et qu’il avait besoin de réauthentifier son compte. Il s’est aperçu que la notification s’affichait dans le Viewport du navigateur impliquait qu’il est facile pour un pirate de créer cette notification pour piéger un utilisateur.
Si vous avez apprécié cet article, soutenez-moi sur Patreon ou Buy me a coffee Vous recevrez chaque semaine du contenu exclusif et des réponses à vos questions. Merci ! 😊
Le chercheur a publié le code LostPass sur Github. Il nous explique comment ça marche. On crée un site qui est vulnérable à du XSS. L’utilisateur ne saura pas différencier le site puisqu’on peut déployer LostPass même sur une site légitime. Une fois que vous avez installé le script sur le site, n’importe quel utilisateur de LastPass pourra être ciblé. LastPass est vulnérable à la faille CSRF (Cross-Site Request Forgery) ce qui fait que n’importe quel site peut déconnecter un utilisateur de LastPass. Une fois que l’utilisateur est déconnecté, on peut lui afficher un login qui est similaire à LastPass.
L’utilisateur va fournir son nom d’utilisateur et de mot de passe. Et comme on peut utiliser librement l’API de LastPass, alors le pirate peut vérifier si ces informations sont correctes. Si les informations sont incorrectes, alors on affiche une seconde notification disant que le mot de passe est incorrecte et on demande à l’utilisateur de passer par une double authentification. Oui, l’attaque LostPass permet aussi de court-circuiter la double authentification.
Et une fois que l’utilisateur a fourni toutes les informations, on peut les télécharger via l’API de LastPass en utilisant la fonction d’urgence. On peut installer un Backdoor sur son compte, désactiver sa double authentification. On peut faire ce qu’on veut.
LostPass est une attaque grave. Car on ne peut pas dire à l’utilisateur de faire attention, car cette attaque marche sur n’importe quel site. De plus, la notification de LastPass est mal conçue et il est facile de copier le code HTML et le CSS pour le répliquer. Et la double authentification ne sert pas à grand chose puisqu’elle est également exploité dans l’attaque. En fait, la double authentification permet de faciliter l’attaque.
Il y a peu de moyens de contrer cette attaque à moins que LastPass corrige tous les problèmes. Le chercheur a contacté l’entreprise en novembre 2015, mais il semble que cela fonctionne encore à l’heure actuelle. On peut utiliser une alternative à LastPass, mais on déconseille fortement tous les gestionnaires de mots de passe prétendument sur le Cloud. Si vous avez besoin d’un gestionnaire de mot de passe, utilisez KeePass qui est excellent et qui n’a aucun hébergement sur le cloud.
Si vous avez apprécié cet article, soutenez-moi sur Patreon ou Buy me a coffee Vous recevrez chaque semaine du contenu exclusif et des réponses à vos questions. Merci ! 😊
“Si vous avez besoin d’un gestionnaire de mot de passe, utilisez KeePass qui est excellent et qui n’a aucun hébergement sur le cloud”
… sauf si on lit le bulletin d’actualité n°023 du CERT-FR en date du 06 juin 2016 …
http://www.cert.ssi.gouv.fr/site/CERTFR-2016-ACT-023.pdf
C’est déconcertant.
Quel gestionnaire utiliser alors ?