Un institut de recherche américain sur la sécurité informatique nommé ISE a publié un audit des principaux gestionnaires de mot de passe révélant quelques failles de sécurité (https://www.securityevaluators.com/casestudies/password-manager-hacking/)
Heureusement, aucune des failles soulevées ne peut vous conduire à arrêter l’utilisation de ces gestionnaires, mais il est importer de rester vigilants.
Des failles de sécurité identifiées
L’audit a montré que les gestionnaires n’arrivent pas à effacer complètement toutes les données laissées sur la mémoire de votre PC, ce qui en cas d’accès physique au PC constitue un risque.
Les gestionnaires de mot de passe ont pour principe de centraliser l’accès à l’ensemble de vos sites et/ou service en ligne en un seul mot de passe. C’est donc l’unique porte d’entrée à une source d’informations critiques. De plus, le logiciel interagit avec l’OS et la mémoire de votre PC, ce qui nécessite de laisser le moins de trace possible de données sur votre PC.
Lorsqu’un gestionnaire de mot de passe est en fonctionnement en mode débloqué ou bien en mode débloqué puis bloqué successivement, certaines informations, comme le mot de passe, restent en mémoire.
EXEMPLE De failles de sécurité
Cette faille de sécurité a été observée chez plusieurs gestionnaires de mot de passe, tels que 1Password4 et 1Password7, ainsi que Dashlane. Cependant, KeePass ne laisse que quelques informations en mémoire, sans le mot de passe général.
LastPass a quant à lui affirmé avoir trouvé la solution à ce problème. Il est important de souligner que ces failles ne peuvent pas être exploitées à distance directement via internet, mais plutôt en cas de vol d’ordinateur.
Panorama des gestionnaires de mots de passe :
| Gestionnaire | Utilisateurs | Entreprises |
| 1Password | 15 000 000 | 30 000 |
| Dashlane | 10 000 000 | 10 000 |
| KeePass | 20 000 000 | Inconnu |
| LastPass | 16 500 000 | 43 000 |
En conclusion, les gestionnaires de mot de passe présentent des failles de sécurité variables selon le logiciel utilisé. Mais il n’y a aucun risque d’exploitation à distance directement via internet. Le risque existe en cas de vol d’ordinateur.
Compte-tenu de ces éléments, notre position est tout de même de recommander l’utilisation de ces logiciels. Nous avons une préférence pour KeePass qui ne laisse que peu d’informations sensibles en mémoire.
Et vous, que pensez-vous des gestionnaires de mot de passe ?
13 rue des Aulnes
1 commentaire
Les commentaires sont fermés.