Le gestionnaire de mots de passe dispose d’un niveau de protection supplémentaire pour son application Authenticator, sous la forme d’une empreinte digitale et/ou d’un code PIN qui protège ostensiblement les personnes de vos mots de passe si elles trouvent votre téléphone déverrouillé.
Une faille dans le système
La semaine dernière, un développeur a signalé qu’il avait pu contourner cette fonction de sécurité sur la version Android de l’application. À partir de maintenant, les utilisateurs de LastPass peuvent toutefois télécharger une mise à jour de l’application qui corrige le problème et ajouter un code unique lorsque la fonction empreintes digitales/PIN est activée pour la première fois.
Ce n’est pas la première fois que LastPass doit corriger des failles de sécurité critiques. En mars de cette année, l’entreprise a dû corriger quelques problèmes côté serveur et mettre à jour ses extensions. Si vous utilisez LastPass sur Android maintenant, vous voudrez mettre à jour votre application avec la dernière version. Si votre téléphone a été volé ou perdu et que vous devez réactiver la fonction d’authentification multifactorielle, LastPass propose une liste d’étapes recommandées.
Vers une optimisation de la sécurité de LastPass
En fin de compte, cet exploit a permis à l’entreprise de comprendre que son processus de réponse doit également être revu en profondeur. Le développeur original n’a pas été en mesure de notifier avec succès l’exploitation à la société, raison pour laquelle il a utilisé Medium. Depuis, LastPass a remanié ses procédures pour signaler les problèmes de ce genre. « Chez LastPass, enquêter et répondre aux rapports de sécurité – et aux préoccupations des clients en général – est notre priorité absolue et nous nous efforçons d’améliorer constamment nos processus internes », a déclaré la société dans un communiqué.
