Un phishing et Lastpass s’en est allé


Lors de la conférence Shmoocon, un chercheur a présenté une attaque de phishing particulièrement convaincante visant les services du gestionnaire de mot de passe Lastpass. En réaction, les mesures de sécurité ont été rehaussées par l’éditeur du service.

Le phishing n’est pas toujours un problème situé entre le clavier et la chaise. C’est en tout cas la thèse défendue par le chercheur Sean Cassidy, qui a présenté ce week-end lors de la conférence Shmoocon une attaque de cette catégorie particulièrement convaincante et capable de tromper les utilisateurs les plus aguerris du gestionnaire de mot de passe Lastpass.

 

L’attaque, baptisée « Lostpass » exploite plusieurs vulnérabilités présentes sur le service de gestion des mots de passe : il s’agit tout d’abord pour l’attaquant d’attirer l’utilisateur sur un site malicieux, puis d’afficher une notification indiquant à l’utilisateur que celui-ci a été déconnecté de Lastpass. Une fois celle-ci affichée, l’utilisateur est ensuite redirigé vers une page de login quasi identique à celle affichée par Lastpass en cas de déconnexion. L’attaquant peut exploiter un bug notamment présent dans Chromium afin de disposer d’un nom de domaine quasi similaire à celui utilisé pour les extensions chrome du même type que celles utilisées par Lastpass.

L’attaquant peut ensuite exploiter l’API ouverte de Lastpass pour vérifier si les identifiants entrés par l’utilisateur sont valides et pour savoir si celui-ci a activé un système d’identification à double facteur : si tel est le cas, l’attaquant peut également présenter une invite copiée sur celle proposée par le service de gestion de mot de passe et qui lui permet de récupérer par la même occasion le token généré par la double authentification. Une fois les identifiants récupérés, l’attaquant peut accéder au reste des mots de passe stockés par l’utilisateur, ou modifier les paramètres de sécurité du compte afin de faciliter d’éventuelles futures attaques.

Un problème entre la chaise et le clavier ?

Les équipes de Lastpass ont été mises au courant de ce scénario d’attaque au cours de l’été 2015 et ont depuis mis en place plusieurs mesures afin de protéger les utilisateurs. La société a ainsi mis en place un système de vérification par mail lorsque l’utilisateur se connecte depuis un appareil inconnu, ce qui permet selon Lastpass de réduire considérablement les attaques de ce type.

 

La société précise également revoir le fonctionnement de son extension :

celle-ci s’appuie en effet sur des notifications Viewport pour informer ses utilisateurs, une technique facile à imiter pour un attaquant qui souhaiterait tromper un utilisateur. Un comportement que Lastpass entend corriger afin de réduire un peu plus le risque de confusion entre véritables notifications et notifications malicieuses émanant du site visité.

Pour Sean Cassidy, le problème souligné par ce scénario est tout aussi critique qu’une vulnérabilité classique, mais celui-ci regrette que les attaques de type phishing soient trop souvent reléguées au simple rang des problèmes liés à l’utilisateur. Dans sa démonstration en effet, la différence entre les pages légitimes et les pages malicieuses utilisées par un attaquant est minime. Seule une infime différence de trois caractères dans une url et quelques différences typographiques séparent ici le vrai du faux, ce qui rend l’attaque bien plus inquiétante.

 


 

Réagissez à cet article

Source : Lastpass : un phishing presque parfait

image_pdfimage_print