LostPass: une technique de piratage pour LastPass
Au fil de ma veille technologique, il m’arrive de tomber sur des articles que j’aime beaucoup et dont j’ai envie de parler un peu plus que d’autres. Celui que je vais vous présenter ici a suscité ma curiosité car il touche un outil qui est peu vulnérable aux techniques de piratage habituelles et qui illustre un moyen des plus efficaces pour obtenir ce que l’on est venu chercher. Cet article, c’est celui de Sean Cassidy à propos de LostPass. Sean est un chercheur en sécurité et son article a retenu mon attention car il traite de LastPass, un outil dont j’ai déjà chanté les vertus sur ce blog.
LostPass est une technique de piratage qui permet à l’attaquant, en cas de succès, de récupérer tous vos sites et mots de passe pourtant sécurisés dans une boîte presque inviolable. Alors comment s’y prend-t-on pour arriver à faire cela, sachant que même l’équipe de LastPass n’a pas d’accès à vos données ? Et bien voilà comment: en se servant de vous. Ce genre d’attaque, pour ceux qui n’y sont pas familiers, s’appellent du phishing. C’est l’équivalent numérique de l’usurpation d’identité.
Dans son excellent article, Sean Cassidy parle de la manière de réaliser une attaque de ce type contre un utilisateur LastPass et propose même le téléchargement de code permettant sa mise en place. Attention toutefois, n’allez pas croire que c’est à la portée de tout le monde. En plus de l’aspect technique de la chose, il vous faudra également cibler uniquement les utilisateurs qui ont le bon gestionnaire de mot de passe, sinon l’attaque sera vite découverte.
Dans les grandes lignes, voici comment il a réussi son coup:
- Intégrer subtilement un code JavaScript dans une page, qui provoquera l’affichage d’une fausse bannière LastPass demandant de se reconnecter (session expirée)
- Lorsque l’utilisateur clique sur le bouton de reconnexion, il est redirigé sur une fausse page de connexion
- L’utilisateur saisis ses identifiants et envoie le formulaire
- Le script récupère les identifiants, authentifie l’utilisateur chez LastPass et stocke tout le contenu du gestionnaire au passage; l’utilisateur n’y voit rien
Le pire, c’est que cette attaque fonctionne également avec l’authentification double-facteur par Google Authenticator. Je ne sais pas l’état des autres double-facteurs comme YubiKey, mais c’est plutôt impressionnant. Sachez toutefois que cette « faille » a été rapportée à LastPass et que des mesures ont été prises. S’il faut toujours être vigilant car la technique fonctionne toujours même, elle est plus difficile à reproduire depuis quelques jours.
Si vous êtes intéressé par plus de détails, je vous laisse consulter l’excellent article en anglais, qui détaille vraiment bien la chose. Reste plus qu’à faire attention et à ne se reconnecter que par l’extension de navigateur officielle, pas depuis un site web 😉
2 réflexions sur « LostPass: une technique de piratage pour LastPass »
Est-ce qu’il est possible de tomber dans le panneaux de pishing depuis n’importe quels sites? Ou est-ce qu’il existe des sites en particuliers qui nous exposent à cette forme d’attaque?
Comme d’habitude, les sites mal sécurisés sont les plus dangereux car une personne mal-intentionnée à la technique suffisante peut injecter du code malicieux pour produire cette attaque. Les pirates tirent parfois parti des fautes de frappe que vous pouvez faire, par exemple tenter de vous rendre sur exempple.com au lieu de example.com.
Je dirais que non, il n’y a pas de site particulier en dehors de ceux-ci.
En revanche, il y a une technique pour se prémunir de ça: ne s’authentifier que depuis l’extension du navigateur et pas depuis une notification qui apparaît à l’écran. C’est-à-dire cliquer seulement sur l’icône « LastPass » du navigateur.