fbpx

Les gestionnaires de mots de passe ont une faille de sécurité, mais il est tout de même conseillé d’en utiliser un

Par

le

Les gestionnaires de mots de passe sont un moyen utile de protéger vos comptes Internet. Mais le logiciel qui les exécute n’est pas toujours parfait.

Les gestionnaires de mots de passe sont devenus presque obligatoires pour les gros utilisateurs d’ordinateurs qui souhaitent rester protégés contre le nombre toujours croissant d’attaques, mais des recherches récentes ont révélé une vulnérabilité majeure dans quatre des applications les plus populaires de ce type sur Windows 10.

La société américaine de conseil en sécurité informatique ISE a réalisé un audit de sécurité de 1Password, Dashlane, KeePass et LastPass sous Windows 10, et les résultats sont pour le moins inquiétants.

Tous conservent le mot de passe principal en texte clair dans la mémoire du PC, ce qui signifie qu’un pirate informatique ayant accès à l’ordinateur pourrait facilement le lire, puis accéder à toutes les données stockées dans le gestionnaire de mots de passe.

Le mot de passe principal est la clé utilisée par les gestionnaires de mots de passe pour protéger l’application. Les utilisateurs sont tenus de le fournir lorsqu’ils souhaitent le déverrouiller.

Ne laissez pas le gestionnaire dans un état verrouillé

Les chercheurs en sécurité ont découvert que ce mot de passe principal reste dans la mémoire du périphérique en texte clair tant que le gestionnaire de mots de passe lui-même est verrouillé. Cela signifie que le gestionnaire de mots de passe a déjà été lancé, déverrouillé, puis verrouillé automatiquement pour des raisons de sécurité.

«En utilisant un outil propriétaire de reverse engineering, les analystes d’ISE ont pu évaluer rapidement le traitement des secrets par les gestionnaires de mots de passe dans cet état verrouillé », expliquent les chercheurs.

Il est très important de savoir que pour lire le mot de passe principal dans la mémoire du PC, il faut avoir accès à l’appareil, qu’il soit physique ou distant.

En outre, le rapport souligne que malgré le risque de sécurité évident découvert ici, les gestionnaires de mots de passe sont toujours recommandés car ils ajoutent une couche de protection supplémentaire contre les attaques classiques reposant sur des mots de passe faibles.

Bien qu’il soit recommandé aux développeurs d’améliorer la manière dont les gestionnaires de mots de passe assainissent la mémoire, les utilisateurs doivent éviter de garder les gestionnaires de mots de passe dans un état verrouillé sur leur appareil. En d’autres termes, lancez-le, utilisez vos mots de passe, puis fermez-le jusqu’à ce que vous ayez à nouveau besoin d’un autre mot de passe. Bien sûr, ce n’est pas la solution de contournement la plus pratique, mais au moins, elle vous permet de rester protégé jusqu’à ce que les correctifs soient fournis.

Articles recommandés