La sécurité des mots de passe des services Internet est une nouvelle, et elle ne devrait pas l'être. Certains exemples récents ont été le supposé pirater des milliers de comptes iCloud, avec peu de crédibilité d'ailleurs ou des centaines de mots de passe Evernote ou Dropbox. La meilleure recommandation pour éviter les événements imprévus est de changer les mots de passe de nos services avec une certaine assiduité.
Le week-end dernier, le service de mot de passe LastPass, a découvert une vulnérabilité dans votre système. Nous vous remercions de reconnaître le problème et d'alerter les utilisateurs avec des mesures pour empêcher un mal plus grand. Parfois, nous avons appris ces échecs de la part de tiers, et cela ne devrait pas arriver.
LastPass recommande de suivre certaines mesures de précaution, tout en travaillant sur la fermeture définitive de la vulnérabilité. Certaines recommandations sont génériques et, par conséquent, tout utilisateur du service LastPass ou de tout autre service doit en être informé. L'un en particulier est conçu pour empêcher la vulnérabilité découverte d'affecter ses utilisateurs. L'entreprise vous recommande de suivre ces étapes:
Utilisez le coffre LastPass comme plateforme de départ (c'est-à-dire, démarrez le service directement à partir du coffre LastPass). C'est le moyen le plus sûr d'accéder à vos informations d'identification et à vos sites jusqu'à ce que cette vulnérabilité soit résolue.
L'entreprise, une fois qu'elle aura étudié l'origine de la vulnérabilité, révélera les détails et ce n'est qu'alors qu'elle communiquera que la vulnérabilité a été complètement fermée. Jusqu'à présent, on sait que l'attaque a utilisé un système hautement sophistiqué.
L'origine semble être dans le navigateur Google Chrome, mais une autre entrée n'est pas exclue. La nouvelle a été portée à la connaissance d'un analyste de Google. La société a rendu l'attaque publique avec la note suivante:
Le week-end, le chercheur en sécurité de Google Tavis ormandy a signalé une nouvelle vulnérabilité client dans l'extension de service LastPass. Nous nous attaquons maintenant activement à la vulnérabilité. Cette attaque est unique et hautement sophistiquée. Nous ne voulons pas divulguer quelque chose de spécifique sur la vulnérabilité ou notre solution qui pourrait révéler des enquêtes, avec des conséquences désastreuses.