Les gestionnaires de mots de passe sont devenus des outils indispensables pour des millions d’utilisateurs, stockant des centaines de mots de passe derrière un unique mot de passe maître. La plupart de ces services, comme Bitwarden, LastPass et Dashlane, vantent un chiffrement à connaissance nulle (Zero Knowledge Encryption), assurant que même eux ne peuvent accéder aux données.
Menée par des chercheurs de l’ETH Zurich et de l’Université de la Suisse italienne, une étude démontre quelques failles dans cette belle promesse.
Quelles sont les failles découvertes par les chercheurs ?
L’équipe a identifié un total de 27 attaques distinctes, dont 12 contre Bitwarden, 7 contre LastPass et 6 contre Dashlane. Ces services représentent collectivement plus de 60 millions d’utilisateurs. À noter qu’un analyse supplémentaire concerne 1Password.
Les attaques, qui supposent un serveur compromis se comportant de manière malveillante, vont de la simple violation d’intégrité à la compromission complète de tous les coffres-forts d’une organisation. Dans la majorité des cas, les chercheurs ont pu récupérer les mots de passe.
Les vulnérabilités exploitent plusieurs faiblesses communes. Celles-ci incluent des mécanismes de récupération de compte non sécurisés, des chiffrements d’éléments individuels défaillants permettant des fuites de métadonnées, des fonctionnalités de partage mal protégées et l’utilisation de protocoles cryptographiques obsolètes qui sont maintenus pour des raisons de rétrocompatibilité.
Pourquoi ces systèmes sont-ils vulnérables ?
Selon les chercheurs, la complexité du code est un facteur majeur. Dans le but d’offrir des services conviviaux comme le partage familial ou la récupération de compte, les éditeurs ont créé des architectures complexes.
Matteo Scarlata, l’un des auteurs de l’édute, explique que » le code devient plus complexe et déroutant, et cela élargit la surface d’attaque potentielle pour les hackers « . En outre, une certaine réticence à moderniser les systèmes cryptographiques a été observée.
De nombreux fournisseurs » s’en tiennent à des technologies cryptographiques des années 90, même si celles-ci sont obsolètes depuis longtemps « , souligne Matteo Scarlata. La crainte principale est de bloquer l’accès des clients à leurs données lors d’une mise à jour majeure du système de chiffrement.
Comment les éditeurs ont-ils réagi à ces découvertes ?
L’équipe de recherche a suivi un processus de divulgation responsable, accordant aux éditeurs un délai de 90 jours pour corriger les failles avant publication. La plupart des fournisseurs se sont montrés » coopératifs et reconnaissants « .
Dashlane a par exemple corrigé une faille en supprimant le support pour les anciennes méthodes de cryptographie, tandis que Bitwarden a résolu sept des problèmes identifiés.
Tous les éditeurs (Bitwarden, LastPass, Dashlane et 1Password) insistent sur le fait qu’il s’agit d’un scénario d’attaque hypothétique qui nécessite un contrôle total de leurs serveurs, et qu’aucune exploitation dans la nature n’a été détectée.