Les gestionnaires de mot de passe pas complètements surs
Un institut de recherche américain sur la sécurité informatique nommé ISE a publié un audit des principaux gestionnaires de mot de passe révélant quelques failles de sécurité (https://www.securityevaluators.com/casestudies/password-manager-hacking/)
Heureusement, aucune des failles soulevées ne peut vous conduire à arrêter l’utilisation de ces gestionnaires mais à rester vigilants.
En effet, l’audit a montré que les gestionnaires n’arrivent pas effacer complètement toutes les données laissées sur la mémoire de votre PC, ce qui en cas d’accès physique au PC laisse un risque.
Le principe de ces logiciels est de centraliser l’accès à l’ensemble de vos sites et/ou service en ligne en un seul mot de passe. C’est donc l’unique porte d’entrée à une source d’informations critiques. De plus, le logiciel interagit avec l’OS et la mémoire de votre PC, ce qui nécessite de laisser le moins de trace possible de données sur votre PC.
Pourtant, selon le gestionnaire en question, certaines informations type mot de passe général restent en mémoire.
La bonne nouvelle est qu’il n’y a aucun défaut de sécurité lorsque les gestionnaires ne sont pas en fonctionnement. La faille devient alors possible lorsque le gestionnaire est soit en mode débloqué soit est passé du mode débloqué puis bloqué successivement.
Gestionnaire | Utilisateurs | Entreprises |
1Password | 15 000 000 | 30 000 |
Dashlane | 10 000 000 | 10 000 |
KeePass | 20 000 000 | Inconnu |
LastPass | 16 500 000 | 43 000 |
Par exemple, le logiciel 1Password4 laisse une version masquée du mot de passe général en mémoire après avoir été débloqué. Pour 1Password7, tous les mots de passe essentiels ne sont pas nettoyés de la mémoire lorsque l’on passe de débloqué à bloqué.
Même problème pour le logiciel Dashlane. La faille est en revanche moindre pour KeePass qui ne laisse que quelques informations en mémoire mais pas le mot de passe général.
Quant au gestionnaire LastPass, il semble déjà avoir trouvé la solution selon leur porte-parole.
En synthèse, la sécurité est variable selon le gestionnaire mais ce que l’on peut aussi en conclure est qu’aucune des failles révélées ne peut être exploitée à distance directement via internet
Il s’agit surtout de risque en cas de vol d’ordinateur.
Notre position est très clairement de recommander l’usage de ce type de logiciel malgré cette limite avec une préférence pour KeePass.
Et vous, que pensez-vous de ces gestionnaires de mot de passe ?
1 commentaire