Capture d’écran iTunes. | iTunes

Après le cordonnier mal chaussé, voici le serrurier qui doit changer sa porte. Récemment, le célèbre gestionnaire de mots de passe LastPass – qui aide les internautes inscrits sur de très nombreux services à conserver tous leurs mots de passe dans un seul endroit – a dû renforcer sa sécurité à la suite de la publication d’un article inquiétant détaillant des ouvertures possibles pour des pirates désireux de voler des données.

Sean Cassidy, chercheur en sécurité, a affirmé et démontré lors d’une conférence le 16 janvier qu’il était facile de tromper les utilisateurs de LastPass et de les rediriger vers un site frauduleux pour leur voler leurs identifiants puis leurs mots de passe (hameçonnage). Même l’authentification à deux facteurs, une méthode considérée comme sécurisée et obligeant l’envoi d’un SMS de confirmation à chaque connexion, peut être contournée, assure Sean Cassidy.

De nouvelles mesures de sécurité

En réaction à l’article, LastPass a annoncé de nouvelles mesures de sécurité, notamment pour les utilisateurs qui ont activé l’authentification à deux facteurs. L’entreprise remodèlera aussi certaines des fonctions qui facilitent les tentatives d’hameçonnage. D’autres corrections ont été mises en place à la suite du signalement discret de la faille à l’entreprise par Sean Cassidy à la fin de 2015. Enfin, LastPass a pointé du doigt des failles de sécurité du ressort de Google et de son navigateur Chrome, assurant qu’il demande depuis 2012 au géant de renforcer sa sécurité.

Sean Cassidy explique que sa découverte est un message d’alarme et montre le peu d’attention accordée aux attaques par hameçonnage. « La solution est de concevoir des logiciels qui soient résistants à l’hameçonnage », affirme le chercheur.