Au cours de la conférence Shmoocon, un chercheur a dévoilé une attaque de phishing notamment impressionnante contre les services du gestionnaire de mot de passe Lastpass. Pour faire face à cette faille, plusieurs mesures de sécurité ont été augmentées par l’éditeur du service.
Le phishing n’est pas toujours un problème qui se trouve entre le clavier et la chaise. C’est l’avis du chercheur Sean Cassidy, qui a dévoilé ce week-end au cours de la conférence Shmoocon une attaque de cette classe notamment décisive et qui peut duper les utilisateurs les plus entrainés du gestionnaire de mot de passe Lastpass.
Sommaire du contenu
Une attaque appelée Lostpass
L’attaque, nommée « Lostpass » se sert de plusieurs fragilités présentes sur le service de gestion des mots de passe : il est précédemment question pour l’attaquant d’amener l’utilisateur sur un site infecté, et d’afficher une notification inique à l’utilisateur qu’il a été déconnecté de Lastpass. Une fois que la notification apparaît à l’écran l’utilisateur est par la suite redirigé vers une page de login quasiment analogue à celle présentée par Lastpass en cas de déconnexion.
Il sera ensuite possible à celui qui à hacher le compte d’exploiter un bug spécialement présent dans Chromium pour disposer d’un nom de domaine presque similaire à celui utilisé pour les extensions chrome du même genre que celles qu’utilisent Lastpass.
Possibilité de faire une vérification
L’attaquant est ensuite capable de se servir de l’API ouverte de Lastpass pour faire une vérification de la validité des identifiants tapés par l’utilisateur et pour savoir si celui-ci a lancé un système d’identification à double facteur. Si c’est le cas, l’attaquant peut aussi dévoiler une invite copiée sur celle offerte par le service de gestion de mot de passe et qui lui donne la possibilité de récupérer par la même issue le token créé par la double authentification. Quand, les identifiants sont recouvrés, l’attaquant peut utiliser les autres mots de passe sauvegardés par l’utilisateur, ou changer les paramètres de sécurité du compte pour faciliter d’incertaines prochaines attaques.
Un problème entre la chaise et le clavier ?
Les équipes de Lastpass ont été avertues de ce scénario d’attaque pendant l’été 2015 et ont depuis lancé plusieurs mesures pour sécuriser les utilisateurs. La société de ce fait installer un système de vérification par mail quand l’utilisateur se connecte à partir d’un appareil non identifié, ce qui donne la possibilité d’après Lastpass de diminuer de façon considérable les attaques de ce genre.