LastPass : une nième faille remarquée !

Face aux nombreuses menaces de vols de données sensibles qui existent actuellement sur Internet, les internautes font appel à des solutions de protection adaptées. Parmi les méthodes les plus utilisées, il y a l’utilisation des gestionnaires de mots de passe pour effectuer des achats ultra-sécurisés sur la toile. En effet à l’aide de ces applications, les utilisateurs peuvent utiliser sans problème des mots de passes compliqués et très difficiles à décrypter. C’est ce gestionnaire qui stocke ces mots de passe dans des endroits virtuels très sécurisés et à l’abri des surveillances indésirables sur Internet. LastPass est l’une de ces applications. C’est un logiciel très connu malgré ses nombreuses failles répétitives. Dernièrement, une faille qui rendrait l’application vulnérable aux attaques de Phishing a été découverte par un expert en sécurité informatique. Les détails.

Une faille critique découverte

Récemment, un expert en sécurité informatique indépendant à découvert que le gestionnaire de mot de passe sécurisé en ligne LastPass possédait une faille assez critique qui rendrait les utilisateurs très vulnérables aux attaques par Phishing.

Sean Cassidy a donné un nom à cette vulnérabilité et elle a été présenté lors de la conférence de Shmoocon 2016 qui s’est déroulé il y a eu quelques jours aux Etats-Unis. La faille en question a été nommée « LostPass » et elle est basée sur une exploitation intelligente de type CSRF ou « Cross-site-request-forgery » relative au Phishing. La faille concerne donc les services d’authentification et son fonctionnement est très facile à comprendre car elle consiste à transmettre à un utilisateur une fausse requête http qui sera ensuite redirigée vers une action interne du site. En se connectant sur cette page, le client exécutera une requête avec ses droits d’utilisateurs sans s’en rendre compte. Lors de cette conférence, Sean Cassidy a même mis en place une page spéciale pour expliquer cette fameuse vulnérabilité.

Lastpass

Faille corrigée

Une fois la faille découverte et approuvée par LastPass, cette dernière a tout de suite mis en place un nouveau dispositif pour alerter les utilisateurs qu’ils ne devraient pas saisir leur mot de passe sur une page web n’appartenant pas à la société. De plus, si un internaute se connecte avec une adresse IP différente, une vérification par mail est obligatoire. LastPass a affirmé que cette mesure est très efficace pour lutter contre les attaques les plus utilisées par les pirates informatiques.

Comment détecter un Phishing et lutter contre ?

A chaque fois que vous vous connectez sur une page web, assurez-vous bien d’être sur une page sécurisée. Pour vérifier cela, regardez dans la barre d’adresse si l’adresse du site commence bien par un https et que le petit cadenas qui s’y trouve est bien fermé. N’oubliez pas aussi d’utiliser un vpn ou un réseau privé virtuel. Ce système va crypter votre connexion et sécuriser toutes vos informations sensibles. Les protocoles vpn les plus utilisés pour ce chiffrement sont le PPTP (128 bits), le L2TP(256 bits), le SSTP (256 bits) ou encore l’Open vpn (128-256-2048 bits).

Lire le test de Hidemyass

 

 

VPN Actu

Passionnés de Télécommunications et réseaux informatiques, nous prenons part à la protection de vos données en testant de nombreux services VPN. Nous vous proposons des articles afin de comprendre pourquoi l'utilisation d'un service VPN est aujourd'hui devenue primordiale, et tentons de répondre à vos besoins en présentant les meilleurs VPN par utilisation, matériel ou encore pays.

0 Commentaire

Aucun commentaire !

Il n'y a pas encore de commentaire.

Publiez une réponse

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués d'une *


*