Vidéo: How to Remove "Deal Keeper" Manually for Google Chrome, IE, & Firefox (Novembre 2024)
SecurityWatch a confirmé à LastPass qu’une vulnérabilité de son logiciel existait, laissant certains mots de passe accessibles. Un patch a déjà été publié et est disponible au téléchargement.
La vulnérabilité
Nous avons appris la vulnérabilité de notre lecteur David Hughes. Nous avons à son tour informé LastPass, qui a confirmé que le problème avait été créé par une récente mise à jour de leur système. Leur solution devrait être publiée aujourd'hui, et nous encourageons tout le monde à mettre à jour leur logiciel ou à télécharger la nouvelle version à partir de LastPass. Ce problème ne concernerait que les utilisateurs d'IE avec LastPass version 2.0.20.
Notre lecteur nous a informés que, lorsqu'il effectuait un vidage de la mémoire sous Windows IE, il était capable de récupérer les mots de passe LastPass stockés en texte clair. Il semble que lorsque le gestionnaire de mots de passe remplit automatiquement les champs dans IE, les mots de passe non chiffrés restent accessibles en mémoire. Les mots de passe des sessions précédentes ne semblent pas être affectés, car quitter IE nettoie la mémoire. De plus, les mots de passe qui n'ont pas été utilisés pour remplir automatiquement des champs restent chiffrés et ne peuvent pas être récupérés avec cette vulnérabilité.
Le problème semble ne concerner que les utilisateurs d'IE. Par conséquent, tout le monde est en sécurité, à moins que vous n'utilisiez votre navigateur pour stocker les mots de passe pour vous - ce que vous devriez arrêter de faire.
Bien que le problème semble effrayant, la portée de la vulnérabilité est limitée. LastPass a déclaré à Security Watch: "Ce problème particulier serait extrêmement difficile à exploiter - vous devez utiliser IE, vous être connecté à LastPass pour déchiffrer vos données, effectuer un vidage de la mémoire, parcourir le vidage de la mémoire et localiser les mots de passe - nous avons fait de la résolution de ce problème une priorité, car nous attachons une grande importance à la confidentialité et à la sécurité des données de nos utilisateurs."
De plus, il est beaucoup plus facile de vider la mémoire si vous avez un accès direct à l’ordinateur cible, ce qu’un attaquant a peu de chances d’avoir. Si un attaquant peut accéder à distance à votre ordinateur et effectuer le dump, vous aurez probablement bien plus à vous soucier de rien.
Rester en sécurité
Si vous utilisez cette version de LastPass dans IE, la mise à jour de LastPass résoudra le problème, le meilleur moyen de rester en sécurité est donc de le télécharger immédiatement.
Surtout, ne cessez pas d'utiliser un gestionnaire de mot de passe. Si vous vous méfiez de LastPass, pensez à notre autre DashLane 2.0 de la rédaction. L'enregistrement et la création de mots de passe uniques constituent un service très précieux, qui assurera votre sécurité en ligne.
Nous allons continuer à recommander LastPass en tant que gestionnaire de mot de passe, et j'ai été impressionné par la rapidité avec laquelle le problème a été résolu au cours des derniers jours. Si d'autres informateurs sont intéressés, vous pouvez signaler les problèmes directement à LastPass à partir de leur site Web - ou simplement nous envoyer un message.
