BlueBearsIT
  • Nos forces
  • Infogérance
  • Projets
  • Gestion des données
  • Contact
  • Réflexions
Accès clients
15 avril 2019 by Eric CHARPENTIER

Gestionnaires de mots de passe pas complétement sûrs ?

Gestionnaires de mots de passe pas complétement sûrs ?
15 avril 2019 by Eric CHARPENTIER

Les gestionnaires de mot de passe pas complètements surs

Un institut de recherche américain sur la sécurité informatique nommé ISE a publié un audit des principaux gestionnaires de mot de passe révélant quelques failles de sécurité  (https://www.securityevaluators.com/casestudies/password-manager-hacking/)

Heureusement, aucune des failles soulevées ne peut vous conduire à arrêter l’utilisation de ces gestionnaires mais à rester vigilants.

En effet, l’audit a montré que les gestionnaires n’arrivent pas effacer complètement toutes les données laissées sur la mémoire de votre PC, ce qui en cas d’accès physique au PC laisse un risque.

Le principe de ces logiciels est de centraliser l’accès à l’ensemble de vos sites et/ou service en ligne en un seul mot de passe. C’est donc l’unique porte d’entrée à une source d’informations critiques. De plus, le logiciel interagit avec l’OS et la mémoire de votre PC, ce qui nécessite de laisser le moins de trace possible de données sur votre PC.

Pourtant, selon le gestionnaire en question, certaines informations type mot de passe général restent en mémoire.

La bonne nouvelle est qu’il n’y a aucun défaut de sécurité lorsque les gestionnaires ne sont pas en fonctionnement. La faille devient alors possible lorsque le gestionnaire est soit en mode débloqué soit est passé du mode débloqué puis bloqué successivement.

Gestionnaire Utilisateurs Entreprises
1Password 15 000 000 30 000
Dashlane 10 000 000 10 000
KeePass 20 000 000 Inconnu
LastPass 16 500 000 43 000

Par exemple, le logiciel 1Password4 laisse une version masquée du mot de passe général en mémoire après avoir été débloqué. Pour 1Password7, tous les mots de passe essentiels ne sont pas nettoyés de la mémoire lorsque l’on passe de débloqué à bloqué.

Même problème pour le logiciel Dashlane. La faille est en revanche moindre pour KeePass qui ne laisse que quelques informations en mémoire mais pas le mot de passe général.

Quant au gestionnaire LastPass, il semble déjà avoir trouvé la solution selon leur porte-parole.

En synthèse, la sécurité est variable selon le gestionnaire mais ce que l’on peut aussi en conclure est qu’aucune des failles révélées ne peut être exploitée à distance directement via internet

Il s’agit surtout de risque en cas de vol d’ordinateur.

Notre position est très clairement de recommander l’usage de ce type de logiciel malgré cette limite avec une préférence pour KeePass.

Et vous, que pensez-vous de ces gestionnaires de mot de passe ?

Previous articleRGPD vs Cloud ActNext article SD-WAN – le réseau adapté au nouveau monde du cloud !

Laisser un commentaire Annuler la réponse

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

A propos du Blog

Espace de partage autour de sujets technologiques, de nouveautés ou de thèmes généraux autour des métiers de l’informatique. Ce blog est là pour vous permettre de réagir avec nous sur différents sujets qui nous tiennent à cœur. A très vite pour vos commentaires et réactions

Articles récents

Microsoft Teams : le remplaçant de Skype for business15 avril 2019
SD-WAN – le réseau adapté au nouveau monde du cloud !15 avril 2019
Gestionnaires de mots de passe pas complétement sûrs ?15 avril 2019

Catégories

  • Application
  • Infrastructure
  • Reglementation

Étiquettes

Messagerie O365 PCA PRA RGPD SD-WAN Securité Teams