Les gestionnaires de mots de passe ne sont pas aussi sécurisés qu'ils le prétendent

gestionnaire-de-mots-de-passe-relance_2018

Les connexions en ligne sont devenues de plus en plus nombreuses depuis les années 2010, notamment avec l'avènement des réseaux sociaux. De nombreux services en ligne encouragent les utilisateurs à ne pas utiliser le même mot de passe partout.

C'est là qu'interviennent les gestionnaires de mots de passe pour aider les utilisateurs à conserver tous les mots de passe dont ils disposent de manière centralisée avec une couche de sécurité (ajouter des métadonnées et bien d'autres).

Comment utiliser un gestionnaire de mots de passe?

Gestionnaires de mots de passe permettent le stockage et la récupération d'informations confidentielles à partir d'une base de données cryptée.

Les utilisateurs leur font confiance pour offrir de meilleures garanties de sécurité contre les fuites insignifiant par rapport aux autres moyens de stockage des mots de passe, tels que les fichiers texte non sécurisés.

En d'autres termes, les gestionnaires de mots de passe peuvent conserver tous vos mots de passe utilisés sur Internet au même endroit, ils sont donc très utiles.

Tout n'est pas comme ils le peignent

Cela étant dit, un groupe de testeurs de sécurité indépendants, ISE a rapporté cette semaine que certains des gestionnaires de mots de passe les plus populaires présentaient des vulnérabilités qui pourraient être exploitées pour voler des informations d'identité des utilisateurs, en supposant qu'elles n'ont pas encore été exploitées par des tiers.

Dans le rapport présenté par le groupe, décrit les garanties de sécurité que les gestionnaires de mots de passe devraient offrir et examiné le fonctionnement sous-jacent de cinq gestionnaires de mots de passe courants.

Même les logiciels libres ne sont pas exemptés

Ce sont les gestionnaires de mots de passe 1Password, Keepass, Dashlane et LastPass. Tous ces gestionnaires de mots de passe répertoriés ci-dessous fonctionnent de la même manière, disent-ils.

Les utilisateurs saisissent ou génèrent des mots de passe dans le logiciel et ajoutent des métadonnées pertinentes (par exemple, des réponses aux questions de sécurité et le site pour lequel le mot de passe est conçu).

Ces informations sont cryptées puis décryptées uniquement lorsqu'il est nécessaire que l'écran les transmette à un plug-in de navigateur qui remplit le mot de passe sur un site Web ou le copie dans le presse-papiers pour utilisation.

Pour chacun de ces administrateurs, le groupe définit trois états d'existence: non en cours d'exécution, déverrouillé et verrouillé.

Dans le premier état, le gestionnaire de mots de passe doit assurer le cryptage de sorte que tant que l'utilisateur n'utilise pas de mot de passe trivial, un attaquant ne peut pas soudainement deviner le mot de passe principal dans un mot de passe.

Dans le second état, il ne devrait pas être possible d'extraire le mot de passe principal de la mémoire directement ou de toute autre manière pour récupérer le mot de passe principal d'origine.

Et dans le troisième état, toutes les garanties de sécurité d'un gestionnaire de mots de passe non actif doivent être appliquées à un gestionnaire de mots de passe dans un état verrouillé.

Dans leur analyse, les testeurs affirment avoir examiné l'algorithme utilisé par chaque gestionnaire de mots de passe pour convertir le mot de passe principal en clé de chiffrement et que l'algorithme n'a pas la complexité pour résister aux attaques de cracking d'aujourd'hui.

Sur l'analyse des administrateurs de la sécurité

Dans le cas de 1Password 4 (version 4.6.2.628), son évaluation de la sécurité opérationnelle a révélé des protections raisonnables contre l'exposition de mots de passe individuels à l'état déverrouillé.

Malheureusement, cela a été contourné par sa gestion du mot de passe principal et par divers détails d'implémentation brisés lors du passage de l'état déverrouillé à l'état verrouillé. Le mot de passe principal reste en mémoire.

Par conséquent, 1 Le mot de passe principal du mot de passe peut être récupéré car il n'est pas effacé de la mémoire après avoir mis le gestionnaire de mots de passe dans un état verrouillé.

Prendre 1Password (version 7.2.576), Ce qui les a surpris, c'est qu'ils ont trouvé que il est moins sûr à exécuter que 1Password dans sa version précédente que 1Password 7 car il a craqué tous les mots de passe individuels dans la base de données, testez les données dès qu'elles sont déverrouillées et mises en cache, contrairement à 1Password 4 qui n'a stocké qu'une seule entrée à la fois.

Également aussi a constaté que 1Password 7 n'efface pas les mots de passe individuels, ni le mot de passe maître, ni la clé de mémoire secrète lors du passage de l'état déverrouillé à l'état verrouillé.

Ensuite, dans l'évaluation de Dashlane, les processus ont indiqué que l'accent était mis sur le fait de cacher des secrets en mémoire pour réduire les risques d'extraction.

De plus, l'utilisation de l'interface graphique et des trames de mémoire qui empêchaient la transmission de secrets à diverses API du système d'exploitation était propre à Dashlane et pouvait les exposer à l'écoute clandestine par des logiciels malveillants.

Linux n'est pas non plus l'exception

Contrairement aux autres gestionnaires de mots de passe, KeePass c'est un projet open source. Semblable à 1Password 4, KeePass déchiffre les entrées au fur et à mesure qu'elles interagissent.

Cependant, ils restent tous en mémoire car ils ne sont pas effacés individuellement après chaque interaction. Le mot de passe principal est effacé de la mémoire et ne peut pas être récupéré.

Cependant, alors que KeePass tente de sécuriser les secrets en les effaçant de la mémoire, il y a évidemment des bogues dans ces flux de travail, car nous avons trouvé, disent-ils, que même dans un état verrouillé, nous pouvions extraire les entrées avec lesquelles il avait interagi.

Les entrées interceptées restent en mémoire même après que KeePass a été placé dans un état verrouillé.

Enfin, comme dans 1Password 4, LastPass masque le mot de passe principal lorsqu'il est entré dans le champ de déverrouillage.

Une fois que la clé de déchiffrement est dérivée du mot de passe principal, le mot de passe principal est remplacé par la phrase «lastpass».

source: évaluateurs de sécurité


5 commentaires, laissez le vôtre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.

  1.   anonyme dit

    Les mots de passe ne doivent pas être stockés ailleurs que dans un cahier écrit avec un stylo à bille ... le reste est comme l'histoire de l'oncle.

  2.   Paco dit

    tout à fait d'accord, comme le notebook il n'y a rien car c'est un peu difficile pour les hackers
    entrez dans votre maison pour voler votre cahier

  3.   Luix dit

    Quel serait l'administrateur le plus sûr?

  4.   Chapeau de mauvaise herbe dit

    Exagération totale, il est évident qu'un gestionnaire de mots de passe n'est pas 100% sécurisé, car rien n'est 100% sécurisé messieurs ... Même ainsi, toujours, il sera toujours plus sûr d'utiliser un gestionnaire de mots de passe que de ne pas l'utiliser. Crayon et papier? Absurde sauf si vous n'avez que 3 ou 4 mots de passe, mais pour des gens comme moi qui ont 50, 100 ou plus comptes différents à différents endroits cela n'a pas le moindre sens, à cela il faut ajouter que si vous perdez le papier ou la clé USB , dites-leur adieu à votre vie numérique. En 2019, cela n'a aucun sens de sauvegarder vos mots de passe ailleurs que dans le cloud, tous correctement chiffrés. Lastpass est la chose la plus sûre à utiliser aujourd'hui, quiconque prétend ne pas savoir de quoi il parle, c'est simplement un utilisateur moyen. Les salutations.

  5.   hirondelle dit

    j'utilise https://bitwarden.com/ Que dit le rapport de ce gestionnaire de mots de passe?