Aujourd'hui, force est de constater qu'il existe plusieurs précédés qui permettent aux utilisateurs de générer des mots de passe avec un niveau de sécurité élevé. Toutefois, l'un des plus grands défis auxquels sont confrontés les utilisateurs est relatif au stockage de ces mots de passe qui sont souvent très complexes et donc difficiles à retenir. Ainsi, face à ce problème, les applications de gestion de mots de passe sont un moyen efficace, car permettant de stocker un grand nombre de mots de passe sécurisés. Les éditeurs de ces gestionnaires de mots de passe soutiennent souvent que les informations stockées au sein de ces applications sont chiffrées et bien en sécurité. En effet, pour qu'un utilisateur puisse accéder aux différents mots de passe stockés, il doit obligatoirement saisir un mot de passe principal qu'il a préalablement défini. Malgré les assurances fournies par les éditeurs, certains spécialistes se posent des questions notamment : est-ce que les utilisateurs peuvent être sûrs à 100 % que leurs données sont stockées en toute sécurité ? Est-il possible d'accéder aux informations d'identification stockées dans ces applications ?
C'est donc pour trouver des réponses à ces différentes questions que des chercheurs de la TeamSIK, un groupe de chercheurs professionnels spécialisés dans la sécurité et travaillant à l'Institut Fraunhofer pour les technologies de l'information sécurisée en Allemagne, ont décidé de faire une analyse approfondie du niveau de sécurité des gestionnaires de mots de passe les plus populaires se trouvant dans le Play Store de Google. Les chercheurs en sécurité ont en effet précisé que leurs travaux ont porté sur les neuf applications qui suivent : My Passwords, Informaticore Password Manager, LastPass, Keeper, F-Secure KEY, Dashlane, Hide Pictures Keep Safe Vault, Avast Passwords et 1Password.
Au terme de leurs travaux, les chercheurs en sécurité affirment avoir découvert des résultats extrêmement préoccupants pour les utilisateurs. Selon eux, les applications de gestion de mots de passe ne fournissent pas suffisamment de mécanismes de protection permettant de garantir la sécurité des informations qui y sont stockées. « Les gestionnaires de mots de passe sous Android souffrent de vulnérabilités extrêmement graves qui peuvent exposer les informations d'identification des utilisateurs », a déclaré le groupe des chercheurs. Ils ajoutent qu'au niveau de certaines applications, le mot de passe principal ainsi que les clés de chiffrement sont stockés en clair dans le code du programme. Cette situation pourrait permettre aux cyberpirates d'accéder à l'ensemble des données d'un utilisateur, cela en contournant facilement l'algorithme de chiffrement.
« Pour d'autres gestionnaires de mots de passe, nous nous sommes rendu compte qu'il est possible d'accéder à l'ensemble des mots de passe et informations d'identification, cela en se servant d'une application tierce malveillante », ont déclaré les chercheurs en sécurité. Ils précisent qu'une fois que l'installation est faite sur l'appareil, l'application malveillante collecte tous les mots de passe et informations d'identification stockées en clair et les envoie à l'attaquant.
L'équipe de la TeamSIK soutient également que certains gestionnaires de mots de passe ne disposent pas d'une protection contre le reniflement du presse-papier. Pour eux, certaines informations d'identification peuvent avoir été copiées dans la mémoire pour permettre à un utilisateur de les coller ultérieurement, toutefois ces informations ne font pas l'objet de suppression via un nettoyage du presse-papier.
Les chercheurs soutiennent également que les éditeurs ajoutent souvent de nouvelles fonctionnalités supplémentaires qui peuvent avoir une incidence sur la sécurité. À titre d'exemple, ils ont cité le cas des fonctions d'autoremplissage qui pourraient être détournées par des personnes mal intentionnées pour voler les informations stockées dans un gestionnaire de mots de passe, cela en utilisant des attaques de phishing. Et pour une meilleure prise en charge des fonctions d'autoremplissage dans les pages Web, quelques-unes des applications fournissent leurs propres navigateurs Web. Cependant, les chercheurs de la TeamSIK estiment que ces navigateurs sont une source supplémentaire de vulnérabilités.
Source : TeamSIK
Et vous ?
Que pensez-vous de ces vulnérabilités découvertes par le TeamSIK ?
Android : les gestionnaires de mots de passe les plus populaires présentent des vulnérabilités critiques
Selon les chercheurs en sécurité de TeamSIK
Android : les gestionnaires de mots de passe les plus populaires présentent des vulnérabilités critiques
Selon les chercheurs en sécurité de TeamSIK
Le , par Malick
Une erreur dans cette actualité ? Signalez-nous-la !