Gestionnaire de mots de passe KeePass jusqu’ sa version 2.53 (dans une installation par dfaut) permet un attaquant, qui a un accs en criture au fichier de configuration XML, d’obtenir les mots de passe en clair en ajoutant un dclencheur d’exportation. La vulnrabilit qui est identifie par la CVE-2023-24055 est conteste par l’quipe de dveloppement de KeePass.
La compromission des informations personnelles la suite d’une violation de donnes peut avoir de nombreuses consquences ngatives, notamment l’usurpation d’identit, divers types de fraude, la dtrioration de sa crdibilit. Common Vulnerabilities and Exposures ou CVE est un dictionnaire des informations publiques relatives aux vulnrabilits de scurit. Le dictionnaire est maintenu par l’organisme MITRE, soutenu par le dpartement de la Scurit intrieure des tats-Unis.
L’quipe de dveloppement de KeePass conteste ce qui est dcrit comme une vulnrabilit rcemment dcouverte, qui permet aux attaquants d’exporter furtivement toute la base de donnes en texte clair. KeePass est un gestionnaire de mots de passe open source trs populaire qui permet de grer les mots de passe en utilisant une base de donnes stocke localement, plutt qu’une base hberge dans le cloud, comme LastPass ou Bitwarden.
Pour scuriser ces bases de donnes locales, les utilisateurs peuvent les chiffrer l’aide d’un mot de passe principal, de sorte qu’un logiciel malveillant ou un cybercriminel ne puisse pas simplement voler la base de donnes et accder automatiquement aux mots de passe qui y sont stocks.
La vulnrabilit est rpertorie sous le nom de CVE-2023-24055, et elle permet aux acteurs de la menace disposant d’un accs en criture au systme d’une cible de modifier le fichier de configuration XML de KeePass et d’injecter un dclencheur malveillant qui exporterait la base de donnes, y compris tous les noms d’utilisateur et mots de passe en clair. La position du vendeur est que la base de donnes de mots de passe n’est pas cense tre scurise contre un attaquant qui a ce niveau d’accs au PC local.
La prochaine fois que la cible lancera KeePass et entrera le mot de passe principal pour ouvrir et dchiffrer la base de donnes, la rgle d’exportation sera dclenche et le contenu de la base de donnes sera enregistr dans un fichier que les attaquants pourront ensuite exfiltrer vers un systme sous leur contrle. Toutefois, ce processus d’exportation se lance en arrire-plan sans que l’utilisateur en soit inform ou que KeePass demande la saisie du mot de passe principal titre de confirmation avant l’exportation, ce qui permet l’acteur de la menace d’accder tranquillement tous les mots de passe stocks.
Alors que les quipes CERT des Pays-Bas et de la Belgique ont galement mis des avis de scurit concernant CVE-2023-24055, l’quipe de dveloppement de KeePass fait valoir que cela ne devrait pas tre class comme une vulnrabilit tant donn que les attaquants ayant un accs en criture l’appareil d’une cible peuvent galement obtenir les informations contenues dans la base de donnes KeePass par d’autres moyens.
Recommandation lquipe CERT de la Belgique
Lquipe CERT de la Belgique suggre de mettre en uvre une mesure d’attnuation via la fonction de configuration renforce, puisqu’aucun correctif ne sera disponible. Cette fonctionnalit est principalement destine aux administrateurs rseau qui souhaitent imposer certains paramtres aux utilisateurs pour une installation KeePass, mais peut galement tre utilise par les utilisateurs finaux pour renforcer leur configuration KeePass. Toutefois, ce renforcement n’a de sens que si ce fichier ne peut pas tre modifi par l’utilisateur final.
Les paramtres du fichier de configuration renforce KeePass.config.enforced.xml sont prioritaires sur les paramtres des fichiers de configuration globaux et locaux. Diverses options permettant de renforcer votre configuration KeePass sont documentes dans le rfrentiel GitHub Keepass-Enhanced-Security-Configuration indiqu dans la section de rfrence. Il est par exemple possible de dsactiver compltement la fonction de dclenchement (XPath Configuration/Application/TriggerSystem).
Les organisations peuvent galement envisager de passer un autre gestionnaire de mots de passe prenant en charge les espaces de stockage de mots de passe KeePass.
La question de la ncessit dun gestionnaire de mot de passe divise
Selon une enqute, 65 % des utilisateurs ne feraient pas confiance aux gestionnaires de mots de passe. Le manque de confiance est la raison la plus courante pour laquelle les gens n’utilisent pas de gestionnaires de mots de passe. 34 % des personnes interroges ont dclar craindre que leur gestionnaire de mots de passe ne soit pirat, tandis que 30,5 % ont dclar ne pas faire confiance aux socits de gestion de mots de passe pour leurs informations.
Des experts recommandent l’abandon de Lastpass au profit des autres gestionnaires de mot de passe comme Bitwarden ou 1Password. Pour Jeremi Gosney, chercheur en scurit, il faut s’loigner du gestionnaire en raison de sa longue histoire d’incomptence
Dcembre 2021, les utilisateurs de LastPass ont averti que leurs mots de passe principaux taient compromis. Un utilisateur de LastPass a cr un message pour souligner le problme. Il a affirm que LastPass l’avait averti d’une tentative de connexion depuis le Brsil. D’autres utilisateurs ont rapidement rpondu au message, notant qu’ils avaient vcu quelque chose de similaire.
Dcembre 2022, dans une mise jour de billet de blog publie en septembre de cette anne, LastPass rvle que la dernire violation de donnes sur la plateforme de gestion de mot de passer a expos certaines informations sur les clients. Prcdemment en aot, le gestionnaire de mot de passe expliquait stre fait drober du code source et des informations techniques via un compte dveloppeur compromis.
L’diteur du gestionnaire de mots de passe qui compte 25 millions dutilisateurs et 80 000 entreprises clientes avait annonc que des pirates se sont introduits dans le compte d’un de ses dveloppeurs et l’ont utilis pour accder des donnes exclusives. Aujourd’hui, LastPass affirme que la dernire violation de donnes de LastPass a expos certaines informations sur les clients.
Les personnes ges de 55 ans et plus seraient les plus craintifs au sujet de lutilisation des gestionnaires de mot de passe. 20,1 % des personnes interroges ont dclar ne pas utiliser de gestionnaire de mots de passe parce qu’elles ne savaient pas ce qu’tait un gestionnaire de mots de passe, contre 12 % des 35-54 ans et 14,1 % des 18-34 ans.
Environ 10 % des personnes ont dclar que, plutt que d’utiliser un gestionnaire de mots de passe, elles ont recours l’authentification multifactorielle (AMF) pour protger leurs comptes. L’authentification multifactorielle ncessite des tapes ou des informations d’identification supplmentaires, telles que la reconnaissance faciale, l’empreinte digitale ou des questions de scurit, pour accder un compte. Bien que l’authentification multifactorielle offre une meilleure scurit qu’un simple mot de passe, elle n’est pas encore une mthode de scurit largement utilise.
Et vous ?
Quelle apprciation faites-vous des gestionnaires de mots de passe ? Pour ou contre ?
S’il vous tait demand de choir entre l’authentification multifactorielle et un gestionnaire de mots de passe, lequel choisiriez-vous ?
Voir aussi :