IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

La plupart des gestionnaires de mots de passe populaires présentent des vulnérabilités pouvant entraîner le vol de mots de passe,
Selon un rapport

Le , par Bill Fassinou
27 commentaires

429PARTAGES

14  1 
Les connexions en ligne sont devenues de plus en plus nombreuses depuis les années 2010 notamment avec l’avènement des réseaux sociaux, de certains services en lignes (abonnement à un site de news, compte d’achats sur les sites e-commerce, etc.) et également de l’IoT. Chaque personne veut être présente sur au moins quelques-uns de ses réseaux et pouvoir profiter de certains services pour la plupart gratuits. Les nombreux services en ligne encouragent les utilisateurs à ne pas utiliser le même mot de passe partout. C’est là qu’interviennent les gestionnaires de mots de passe pour aider les utilisateurs à garder tous les mots de passe dont ils disposent de façon centralisée avec une couche de sécurité (ajout de métadonnées, et bien d’autres). Les gestionnaires de mots de passe permettent le stockage et la récupération d'informations sensibles à partir d'une base de données cryptée.

Les utilisateurs comptent sur eux pour leur offrir de meilleures garanties de sécurité contre les exfiltrations insignifiantes par rapport aux autres moyens de stockage des mots de passe tels que les fichiers texte non sécurisés. Autrement dit, les gestionnaires de mots de passe permettent de conserver à un seul et même endroit la totalité de vos mots de passe utilisés sur Internet. Ils sont donc très utiles. Cela dit, un groupe d’évaluateurs en sécurité indépendants, ISE, a présenté cette semaine un rapport selon lequel les gestionnaires de mots de passe les plus populaires notamment sur Windows 10 disposent de quelques vulnérabilités qui pourraient être exploitées pour voler les informations d’identité des utilisateurs, en supposant qu’elles n’ont pas déjà été exploitées par des tiers. Cependant, rappellent-ils, cela ne veut pas du tout dire que vous devez abandonner votre gestionnaire de mots passe, puisqu’il vous sera très difficile de vous débrouiller sans.

Dans le rapport que le groupe a présenté, ils ont exposé les garanties de sécurité que les gestionnaires de mots de passe devraient offrir et ont examiné le fonctionnement sous-jacent de cinq gestionnaires de mots de passe populaires pris en charge par le système d’exploitation Windows 10. Il s’agit des gestionnaires de mots de passe 1Password, Keepass, Dashlane et LastPass. Tous ces gestionnaires de mots de passe cités ci-dessous fonctionnement de la même manière, disent-ils. Les utilisateurs saisissent ou génèrent des mots de passe dans le logiciel et ajoutent les métadonnées pertinentes (par exemple, les réponses aux questions de sécurité et le site auquel le mot de passe est destiné). Ces informations sont cryptées, puis décryptées uniquement lorsque cela est nécessaire pour l'affichage pour les transmettre à un module complémentaire du navigateur qui remplit le mot de passe sur un site Web ou pour les copier dans le Presse-papier pour les utiliser.


Pour chacune de ces gestionnaires, le groupe définit trois états d'existence : non en cours d'exécution, déverrouillé et verrouillé. Dans le premier état, le gestionnaire de mot de passe doit garantir un chiffrement de manière à ce que tant que l'utilisateur n'utilise pas de mot de passe trivial, qu'un attaquant ne puisse brutalement deviner le mot de passe principal dans un délai raisonnable en utilisant les ressources informatiques couramment disponibles. Dans le deuxième état, il ne devrait pas être possible d'extraire le mot de passe principal de la mémoire ni directement, ni sous toute autre forme permettant de récupérer le mot de passe principal d'origine. Et dans le troisième état, toutes les garanties de sécurité d'un gestionnaire de mots de passe non actif doivent s'appliquer à un gestionnaire de mots de passe à l'état verrouillé.

Dans leur analyse, les évaluateurs disent avoir examiné l'algorithme utilisé par chaque gestionnaire de mots de passe pour transformer le mot de passe principal en une clé de chiffrement et que l'algorithme manque gravement de complexité pour résister aux attaques de type cracking actuelles. Dans le cas de 1Password 4 (version 4.6.2.628), l'évaluation de sa sécurité en cours d'exécution a permis de trouver des protections raisonnables contre l'exposition de mots de passe individuels à l'état déverrouillé. Malheureusement, cela a été éclipsé par sa gestion du mot de passe principal et par plusieurs détails d'implémentation brisés lors de la transition de l'état déverrouillé à l'état verrouillé. Le mot de passe principal reste en mémoire lorsqu'il est déverrouillé et le logiciel ne parvient pas à effacer suffisamment la région de la mémoire du mot de passe obfusqué lors du passage de l'état déverrouillé à l'état verrouillé.

Il est donc possible de récupérer et de désobfusquer le mot de passe principal à partir de 1Password 4 puisqu'il n'est pas effacé de la mémoire après avoir placé le gestionnaire de mots de passe dans un état verrouillé. En prenant 1Password 7 (version 7.2.576), ce qui les a surpris est qu’ils ont constaté qu'il est moins sécurisé en cours d'exécution que 1Password 4. 1Password 7 a déchiffré tous les mots de passe individuels de la base de données de test dès qu’il est déverrouillé et les met en mémoire cache, contrairement à 1Password 4 qui n’a gardé en mémoire qu’une entrée à la fois. En outre, ils ont aussi constaté que 1Password 7 ne nettoie ni les mots de passe individuels, ni le mot de passe principal, ni la clé secrète de la mémoire lors du passage de l’état déverrouillé à l’état verrouillé.

Ensuite, dans l’évaluation de Dashlane, les processus indiquaient que l’accent était mis sur la dissimulation de secrets en mémoire afin de réduire les risques...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !

27 commentaires
Commenter Signaler un problème
alexetgus
Avatar de alexetgus
Membre averti https://www.developpez.com
Le 02/03/2019 à 22:26
Cette analyse est instructive, mais trop alarmiste à mon gout.
Pour qu'un enfoiré du net vienne fouiller ma RAM comme ça lui plait, il faut que ma machine soit foutrement vérolée !
Et comment se passer d'un gestionnaire de mots de passe ?

Je ne connais déjà pas grand monde qui utilise ces utilitaires, pour ne pas dire quasiment personne, alors c'est vraiment pas la peine de décourager ceux qui seraient tentés par une de ces solutions au motif que le pire est possible.
Un gestionnaire de mots de passe sera toujours plus sécuritaire que d'utiliser un mot de passe unique pour chaque site où l'on possède un compte, ce qui est malheureusement le cas de la majorité des internautes. Si cette majorité à plus de 5 mots de passe pour une centaine de sites, c'est déjà beau...
4  0 
Volgaan
Avatar de Volgaan
Membre confirmé https://www.developpez.com
Le 22/02/2019 à 13:32
Citation Envoyé par tanaka59 Voir le message
Pourquoi risquer le diable avec des applis pareils ?
Parce que lorsqu'on a des dizaines ou des centaines de comptes, ça devient vite ingérable (sauf si on utilise le même mot de passe partout bien sûr ).

En plus, en ce qui me concerne, c'est bien pratique pour garder une trace de tous les comptes que je possède (je complète la liste au fur et à mesure)

Sans oublier qu'en entreprise, on est bien obligés d'avoir une liste quelque part pour tous les services, donc un gestionnaire de mots de passe sérieux sera infiniment plus pratique et plus sécurisé qu'un fichier texte qui traîne sur le réseau

Quant aux risques, j'en suis arrivé à la conclusion que c'est bien minime si on fait attention (surtout par rapport au service rendu) : il faudrait que le fichier de base de données « fuite » dans la nature et que quelqu'un puisse en casser le mot de passe (plus de 20 caractères), ce qui me paraît très peu probable. Au sujet des keyloggers, le problème serait exactement le même en entrant les identifiants à la main, alors...
2  0 
sebastiano
Avatar de sebastiano
Membre extrêmement actif https://www.developpez.com
Le 21/02/2019 à 17:25
Je n'ai jamais ressenti le besoin d'utiliser des gestionnaires de mots de passe, il était évident qu'un endroit centralisant ces données (sensibles) serait exposé à ces vulnérabilités.
1  0 
Itachiaurion
Avatar de Itachiaurion
Membre confirmé https://www.developpez.com
Le 22/02/2019 à 10:50
Citation Envoyé par tanaka59 Voir le message

Pourquoi risquer le diable avec des applis pareils ?
Parce que ces applis sont pratiques et permettent de s'adapter a tout types de mot de passe possible (on vous vois les sites qui sont allergique au caractères spéciaux et ou long mot de passe *gros yeux*) permettent de générer des mot de passes pseudo aléatoires, de se souvenirs d'identifiant, de ne pas avoir a recrée un mot de passe par semaine ou moins en fonction du nombre de site, de renouveler les mot de passes en question régulièrement pour limiter les risques et exposes pour certaines a des risques théoriques limités? Et si le gestionnaire de mot de passe tombe tu fais quoi? Et si tu le/les courriels tombe tu fais quoi? C'est a peu près le même combat au final, le risque zéros n'est pas présent le gestionnaire de mot de passe lui pouvant fonctionner en offline en cas de pépins pour les éventuel application offline a utilisé ou simplement pour éviter d'avoir a récupéré un mot de passe d'un forum ou d'un site pas important sur un réseaux qui n'inspire pas confiance.
1  0 
Volgaan
Avatar de Volgaan
Membre confirmé https://www.developpez.com
Le 25/02/2019 à 9:19
Citation Envoyé par tanaka59 Voir le message
Se pose une question , est ce vraiment nécessaire d'avoir 100 ou 200 comptes ?
On y arrive vite après plus d'une décennie entre les sites personnels et les hébergements associés, les boutiques en ligne, les comptes e-mail, le(s) compte(s) pro, YouTube, les forums, les sites d'actualité payants, etc. Mais même s'il n'est question que d'une trentaine de comptes, c'est toujours ça à mémoriser par cœur !

Citation Envoyé par tanaka59 Voir le message
La gestionnaire de mot de passe c'est comme la conciergerie , y laisser toutes ces clefs est risqué ... une seul l'ai moins ...
Sauf que là, pour reprendre l'analogie, toutes les clés sont stockées dans un coffre-fort sécurisé (parce que chiffré), pas dans une boîte en carton cachée dans le placard à balais
1  0 
Volgaan
Avatar de Volgaan
Membre confirmé https://www.developpez.com
Le 25/02/2019 à 14:21
Citation Envoyé par tanaka59 Voir le message
Il existe des ransomware qui détruisent et modifient les clefs de chiffrages originales par d'autres ... Cela revient à un cambrioleur ou squatteur de changer ton barillé ... t’empêchant ainsi de rentrer !
La précaution reste la même que pour les autres fichiers : ne pas oublier de faire des sauvegardes (sur un support déconnecté de la machine, sinon la sauvegarde aussi est détruite).

Citation Envoyé par tanaka59 Voir le message
Whaou c'est une révolution ... Excel gère également des listes ... Mettre un mot de passe pour ouvrir un .xlsx ou .docx cela ne vous parle pas ?
Entre un fichier Excel/Word protégé ou le "coffre" d'un gestionnaire de mot de passe, je pense que je peux faire davantage confiance en la robustesse de ce dernier (si bien choisi)...

Citation Envoyé par tanaka59 Voir le message
Comme déjà évoqué , dans c'est un organisme "vital" , quand c'est superficiel ... genre Amazon ou FB c'est très discutable.
Pour les boutiques en ligne, on est d'accord, ça se discute, mais il n'empêche que je n'aimerais pas que des tiers commandent des trucs en douce à mon compte

Les réseaux sociaux sont plus sensibles par contre à mon sens, car ils peuvent tout de même recéler des informations "confidentielles" ou des échanges "sensibles" (notez les guillemets).

Citation Envoyé par tanaka59 Voir le message
Il y a également un chose qui me chiffonne avec les password manager. Le logiciel qui est utilisé peut envoyer de l'info via internet ! Donc même si le trafic est sécurisé , chiffré ou crypté rien n’empêche que le trafic soit écouté !
Vous parlez de la confiance placée dans le gestionnaire de mots de passe ? Il est évident qu'il ne faut pas prendre aveuglément le premier venu. J'ai moi-même mis très longtemps avant de me décider (car de naturel plutôt "parano" quant à des informations aussi sensibles). Mon choix s'est tout de même arrêté sur KeePass, dont j'ai étudié une partie du code (ce qui était très enrichissant au passage) afin de dénicher la présence ou non de quelques "failles" volontaires, comme un envoi discret des informations collectées... Ce qui s'est avéré négatif, sans quoi je ne l'aurais pas choisi

Bien entendu, je ne suis pas un expert en sécurité et je ne prétends pas non plus avoir lu l'entièreté du code, mais je crois savoir qu'au moins un audit avait été conduit à ce sujet.
1  0 
transgohan
Avatar de transgohan
Expert éminent https://www.developpez.com
Le 25/02/2019 à 14:49
La fonction mot de passe oublié ? Ah oui...
Celle qui m'enquiquine quand je dois l'utiliser car le mail n'arrive que dans les 48-72h alors que c'est maintenant que j'en ai besoin...
1  0 
Volgaan
Avatar de Volgaan
Membre confirmé https://www.developpez.com
Le 26/02/2019 à 8:47
Citation Envoyé par Plaka Voir le message
Et dire que c'est le niveau 0 de l'IA ce truc à la con ...

Ça promet !!!
Quel rapport avec le sujet ?
1  0 
yexid85722
Avatar de yexid85722
Candidat au Club https://www.developpez.com
Le 17/04/2020 à 20:17
quand on voit la mauvaise maîtrise des termes utilisés sur ce sujet ("cryptées, puis décryptées", on est en droit de se demander de la qualité de compétence du rédacteur de l'article.
En tout cas en début de lecture, cela ne donne pas envie d'aller plus loin.
Un petit effort s'il vous plait, merci.
1  0 
4sStylZ
Avatar de 4sStylZ
Membre éprouvé https://www.developpez.com
Le 21/02/2019 à 17:41
Je n’ai jamais aimé le système de mot de passe, surtout quand c’est utilisé à outrance pour créer des comptes à usage unique.
De manière génerale je préfère m’exposer à des risques théoriques et ne plus avoir à me soucier de centaines de mots de passes. C’est vraiment un confort dont j’aurai du mal à me passer. À vue de nez j’ai 250 comptes différents sur mon outil, et parfois plus d’un par site web distinct.

Peut être qu’avec un password manager je m’expose plus, mais ça reste à vérifier :*Après tout, un mot de passe on est embêté quand on se le fait voler mais aussi quand on le perd et sur le coup depuis que j’ai un password manager je ne les perd plus.
Avant, j’utilisais avant la sauvegarde auto des mots de passe. Je laissais donc stocké les mots de passes (certainement cryptés) sur chacune des machines / browser que j’utilisais. Maintenant ils sont chez un spécialiste de la sécu (bon… ça vaut ce que ça vaut).

Si je me fait hack mon master password je suis dans la mouise et on pourra monter un bon petit plan d’ingénierie sociale basé sur les accès à des sites de jeux video ou mon compte developpez.com

Le seul compte que je ne met pas sur mon outil est mon compte bancaire.
0  0 
Commenter Signaler un problème