En résumé:
- PCWorld rapporte que des chercheurs suisses ont découvert des vulnérabilités importantes dans les gestionnaires de mots de passe populaires, notamment Bitwarden, LastPass et Dashlane, en raison d’une technologie cryptographique obsolète des années 1990.
- Ces failles de sécurité pourraient potentiellement permettre aux attaquants de compromettre l’intégralité des coffres-forts de mots de passe des utilisateurs, les chercheurs démontrant plusieurs attaques réussies sur chaque plateforme.
- Les utilisateurs doivent choisir des gestionnaires de mots de passe dotés de pratiques de sécurité transparentes, d’audits externes et d’un cryptage de bout en bout par défaut pendant que les entreprises s’efforcent de corriger ces vulnérabilités.
Bitwarden, LastPass et Dashlane sont moins sécurisés qu’on pourrait le croire, du moins si l’on se fie aux conclusions des chercheurs en sécurité de l’ETH Zurich et de l’Università della Svizzera Italiana (USI) de Lugano.
Ils auraient découvert de graves failles de sécurité dans ces gestionnaires de mots de passe populaires. « Lors des tests, ils ont pu visualiser et même modifier les mots de passe stockés », écrit l’éditeur (traduit automatiquement).
Pourquoi sont-ils vulnérables ?
De nombreux gestionnaires de mots de passe stockent les mots de passe sous forme cryptée dans le cloud. L’avantage est que vous pouvez accéder à vos mots de passe sur tous vos appareils, où que vous soyez. L’important est que vos mots de passe soient cryptéqui garantit que ces mots de passe sont protégés contre tout accès non autorisé. Même si des pirates informatiques accèdent aux serveurs du gestionnaire de mots de passe, le cryptage les contrecarrera.
Mais des chercheurs suisses en sécurité ont découvert des vulnérabilités dans les gestionnaires de mots de passe populaires Bitwarden, LastPass et Dashlane : « Les attaques (des chercheurs) allaient de violations de l’intégrité des coffres-forts d’utilisateurs ciblés à la compromission complète de tous les coffres-forts d’une organisation utilisant le service. Dans la plupart des cas, les chercheurs ont pu accéder aux mots de passe et même les manipuler. »
Les chercheurs ont démontré 12 attaques sur Bitwarden, 7 sur LastPass et 6 sur Dashlane. Pour ce faire, ils ont mis en place leurs propres serveurs qui se comportaient comme un serveur de gestion de mots de passe piraté. Les chercheurs ont ensuite initié « des interactions simples que les utilisateurs ou leurs navigateurs effectuent régulièrement lorsqu’ils utilisent le gestionnaire de mots de passe, telles que la connexion au compte, l’ouverture du coffre-fort, l’affichage des mots de passe ou la synchronisation des données ».
Les chercheurs ont découvert des « architectures de code très bizarres », probablement créées parce que les entreprises essayaient « d’offrir à leurs clients le service le plus convivial possible, par exemple la possibilité de récupérer des mots de passe ou de partager leur compte avec des membres de leur famille ».
Cela rend non seulement les architectures de code plus complexes et plus confuses, mais finit par augmenter le nombre de points d’attaque potentiels pour les pirates. Les chercheurs en sécurité préviennent : « De telles attaques ne nécessitent pas d’ordinateurs ni de serveurs particulièrement puissants, mais simplement de petits programmes capables d’usurper l’identité du serveur. »
Avant de publier leurs résultats, les chercheurs ont informé chaque gestionnaire de mots de passe afin qu’ils disposent de suffisamment de temps pour corriger les failles. Ils ont tous répondu positivement, mais tous n’ont pas corrigé les défauts à la même vitesse.
La faute aux méthodes de cryptage obsolètes
Selon les chercheurs, la raison de ces vulnérabilités est évidente : « Les discussions avec les développeurs de gestionnaires de mots de passe ont révélé leur réticence à publier des mises à jour du système, craignant que leurs clients ne perdent l’accès à leurs mots de passe et à d’autres données personnelles. Parmi ces clients figurent des millions de particuliers et des milliers d’entreprises qui confient l’intégralité de la gestion de leurs mots de passe à ces fournisseurs. On peut imaginer les conséquences d’une perte soudaine de l’accès à leurs données. Par conséquent, de nombreux fournisseurs s’accrochent aux technologies cryptographiques des années 1990, même si celles-ci sont obsolètes depuis longtemps. »
La seule solution à ce dilemme est que tous les gestionnaires de mots de passe soient mis à jour cryptographiquement, du moins pour les nouveaux clients. Les clients existants pourraient alors décider eux-mêmes « s’ils souhaitent migrer vers le nouveau système plus sécurisé et y transférer leurs mots de passe, ou s’ils souhaitent conserver l’ancien système, en étant conscients des vulnérabilités de sécurité existantes ».
Que devez-vous faire ?
Les chercheurs nous rassurent qu’il n’y a pas de danger immédiat, affirmant qu’ils n’ont « aucune raison de croire que les fournisseurs de gestionnaires de mots de passe sont actuellement malveillants ou compromis, et tant que cela reste le cas, vos mots de passe sont en sécurité. Cependant, les gestionnaires de mots de passe sont des cibles très médiatisées et des failles de sécurité peuvent se produire ».
Quiconque envisage un gestionnaire de mots de passe devrait choisir un gestionnaire de mots de passe « qui divulgue ouvertement les vulnérabilités de sécurité potentielles, est audité en externe et dont le cryptage de bout en bout est activé par défaut ».
Lectures complémentaires : Les meilleurs gestionnaires de mots de passe, examinés
