securite-informatique

Faille de sécurité des Gestionnaires de mots de passe, Dashlane réagit

Une récente étude a pointé du doigt un souci de sécurité de nombreux gestionnaires de mots de passe. Dashlane incriminé dans ce rapport n’a pas apprécié.

Les gestionnaires de mots de passe sont des applications populaires en raison de la multiplication des mots de passe à retenir. Une étude a cependant tiré la sonnette d’alarme autour de ces logiciels. Il a été montré qu’une faille de sécurité permet à un pirate d’accéder facilement à l’ensemble de leurs données.

Gestionnaires de mots de passe Windows 10, attention à leurs failles !

Gestionnaires de mots de passe, la réaction de Dashlane.

Dashlane, incriminé dans ce rapport, est sorti du silence. La firme a souhaité apporté quelques précisions autour de tout ceci.

« Le scénario évoqué est celui d’un pirate qui aurait pris le contrôle total de l’appareil d’un utilisateur. Tout d’abord, il convient de noter qu’il s’agit d’une question / d’une hypothèse très couramment envisagée dans le monde de la sécurité. En outre, cette problématique ne se limite pas à Windows 10, mais s’applique à tous systèmes d’exploitation et à tous les périphériques numériques connectés à Internet. En effet, elle est abordée dans notre livre blanc consacré à la sécurité (page 18, section f), disponible gratuitement sur notre site Web à l’adresse https://www.dashlane.com/security. Même si les consommateurs ne consultent probablement pas nos livres blancs sur la sécurité, la plupart des grandes entreprises clientes qui ont adopté notre solution (ou toute autre solution de gestion des identités) saut au fait de ce type de problématique, notamment dans le cadre de leurs audits de sécurité.

Il est en effet exact que si un pirate prend le contrôle total d’un périphérique au niveau le plus bas du système d’exploitation, il peut accéder à toutes les informations du périphérique. C’est  non seulement valable avec Dashlane et les autres gestionnaires de mots de passe, mais aussi pour tout logiciel et même tout appareil qui stocke des données numériques. Dans un tel cas de figure, l’attaquant pourrait également voir tout ce qui est tapé par l’utilisateur, y compris les mots de passe et les numéros de carte de crédit, toute information échangée par l’appareil sur Internet même si elle est envoyée par https, et toute information que l’appareil est capable de capturer via du matériel (audio, vidéo, etc.), que l’utilisateur utilise ou non un gestionnaire de mots de passe.

Il est généralement admis dans le monde de la cybersécurité que le scénario décrit ci-dessus est un cas extrême, en ce sens qu’aucun système ne peut protéger un périphérique déjà complètement compromis. Veuillez noter cependant que les pires conséquences de ce scénario ne touchent pas les données stockées par Dashlane sur votre appareil : ces données (par exemple stockées sur le disque dur) sont cryptées et ne peuvent pas être lues par un pirate, même si celui-ci a pris le contrôle total de l’appareil. Ces conséquences ne s’appliquent qu’aux données présentes dans la mémoire de l’appareil lorsque l’utilisateur a saisi son mot de passe maître.

Il est dangereux d’utiliser cet argument pour pousser les gens à cesser d’utiliser un logiciel / une technologie de protection :

  • Recommander de ne pas utiliser une solution de protection à moins que celle-ci ne soit pratiquement impossible à compromettre conduit à rejeter tout logiciel de sécurité car, dans le scénario décrit, ils peuvent tous potentiellement être compromis.
  • Cela revient à dire : “J’accepte uniquement si je suis protégé à 100%. Si ce n’est pas le cas, je ne fais confiance à personne.”
  • De ce fait, les consommateurs se retrouvent sans protection face aux menaces les plus courantes (réutilisation de mots de passe qui peuvent être volés en ligne par des pirates qui ciblent des millions de consommateurs en une seule attaque) par crainte d’une menace beaucoup moins probable (un cybercriminel qui prendrait spécifiquement le contrôle du périphérique d’un seul utilisateur).
  • Cela nous mène directement à la question de l’apathie des consommateurs en matière de protection de leur identité numérique : « comme aucune solution n’est parfaite à 100%, je  préfère ignorer le problème…»
  • En fin de compte, la seule protection efficace dans ce type scénario est de ne plus utiliser l’appareil compromis.

C’est pour cette raison que la plupart des experts en sécurité (sinon tous) recommandent tout de même l’utilisation des gestionnaires de mots de passe, alors même qu’ils sont pleinement conscients du scénario évoqué. »

Jérôme Gianoli

Aime l'innovation, le hardware, la High Tech et le développement durable. Soucieux du respect de la vie privée.

9 commentaires

  1. Il se passe pas une année sans soucis avec tout ces gestionnaires, j’ai résolu le problème depuis des lustres : papier, crayon et/ou fichier texte chiffré sur un autre support ou partition, effet garanti et sans extension ni soft supplémentaire, il reste aussi la cabesa si vous en avez pas 150 000… 😉

    1. Malheuresement papier/crayon et compagnie ne régle pas le soucis. Vous devez taper votre mot de passe de toute façon, et donc le hacker qui a pris le controle de la machine sera en mesure de le voir. Soit en regardant le copié/collé, soit en tracant toutes les touches entrées sur votre clavier, soit en espionant la mémoire de votre navigateur. Et c’est beaucoup beaucoup plus simple que d’essayer de s’attaquer à un gestionnaire de mot de passe. C’est impossible d’être protégé à 100%.

    2. Sauf que vous n’avez soit pas compris soit pas lu l’article jusqu’à la fin auquel cas vous auriez saisi que les gestionnaires de mot de passe ont été ciblés à tort par le scénario décrit dans cet étude.
      En effet, dans le cas de figure présenté, le pirate a pris le contrôle total de la machine. De ce fait, il a accès à tous vos fichiers et ce que vous faites sur votre ordinateur (dont les saisies clavier).
      Dans ce cas, que vous ayez un gestionnaire de mot de passe ou non ne changera rien, encore que si vous en avez un les mots de passes sont stockés et chiffrés sur un serveur et que vous ne les tapez pas à la main, ce qui compliquera fortement la tâche du pirate.
      Dans ce scénario donc, vous représentez une personne importante à cibler personnellement par le pirate et même sans vous connaître je doute que vous ayez autant d’importance pour subir ce genre d’attaque mais si c’est le cas, gestionnaire de mot de passe ou non, vous allez y passer.

      Il arrive effectivement de temps à autre que les gestionnaires de mot de passe soient attaqués. Cependant les pirates n’accèdent à chaque fois qu’aux données des utilisateurs mais jamais à leurs mots de passe qui eux sont chiffrés.

      Partant du principe qu’à notre époque il faut avoir un mot de passe fort et différent sur chaque site et services, je trouve suicidaire le fait de se passer de ce genre de produit.
      Si vous n’avez pas confiance en ceux qui proposent ces services, vous pouvez toujours avoir un gestionnaire de mots de passe local sur votre machine voir un serveur local de gestionnaire de mots de passe style Bitwarden.

      Le papier et crayon sont à proscrire si on tient un minimum à sa sécurité et la tête ne peut pas tout retenir.

      1. Et si vous aviez lu l’étude, vous sauriez que ce qui est reproché aux gestionnaires de mots de passe est de stocker en mémoire TOUS les mots de passe en clair une fois le mdp root saisi. Ce qui est bien un peu débile qd même…

      2. @Blm79
        Je donnais juste mon avis comme toi, as tu déjà été “vérolé” ? non ? tant mieux moi non plus et en 20 ans ! nous avons donc raison, chacun voit midi à sa porte, il n’y a pas qu’une seule “soluce”, personne ne détient la vérité, sécuriser un poste c’est un métier…Je continue donc à ne pas me servir de ces softs

  2. Gnagnagna et si vous aviez lu… y’a toujours un Jean-Expert qui pense avoir tout mieux compris. Sans gestionnaire, en ouvrant un navigateur on peut lire en clair tous les mdp enregistrés, c’est mieux peut-être ?

  3. Bonjour,

    Merci pour cet article très intéressant.
    Je suis tombé sur ce blog par hasard car je cherche à savoir si les incidents de ce genre pourraient advenir chez les utilisateurs qui utiliseraient un systèmes d’authentification multi facteurs?

    Merci

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page