Les gestionnaires de mots de passe ont la mémoire fragile

Plus d'informations
il y a 5 ans 10 mois #1 par Modérateur
Quand vous n’utilisez pas votre gestionnaire de mots de passe, fermez-le plutôt que de simplement le verrouiller.

Ce conseil émane d’ISE, société américaine de conseil en sécurité informatique. Il fait suite à des expérimentations menées sur Windows 10.
Quatre logiciels ont été mis à l’épreuve : 1Password (15 millions d’utilisateurs revendiqués), Dashlane (10 millions), KeePass (20 millions) et LastPass (16,5 millions).

Tous utilisent, d’après ISE, un mécanisme de chiffrement suffisamment robuste pour garantir la sécurité des mots de passe… aussi longtemps que le programme n’est pas en fonctionnement.

Trous de mémoire
Dès lors qu’ils sont en cours d’exécution, ça se complique. Illustration avec 1Password en version 4.6.2.626. Le mot de passe maître reste en mémoire aussi longtemps que le gestionnaire est déverrouillé… et n’est pas effacé lors du verrouillage. Il réside en mémoire sous une forme certes encodée, mais facilement déchiffrable.

La dernière version du logiciel (7.2.576 au moment des tests) est « encore moins sécurisée », selon ISE. Par rapport à la v4, qui conserve systématiquement un seul mot de passe en mémoire, elle déchiffre et met en cache l’ensemble des mots de passe lors du déverrouillage du gestionnaire. Lors du verrouillage, aucune information (y compris le mot de passe maître) n’est effacée. La seule solution sécurisée consiste à fermer le logiciel.

Dashlane (6.1843.0) conserve également un seul mot de passe en mémoire. Mais lorsque l’un d’entre eux est mis à jour, toute la base est exposée en mémoire, sans chiffrement. Et elle reste accessible même après verrouillage ou fermeture ; parfois pendant plus d’une journée, le temps que Windows libère les zones mémoire.

KeePass (2.40) et LastPass (4.1.59) présentent des vulnérabilités similaires.


Clément Bohic - ITespresso - mercredi 20 février 2019
Modérateurs: Modérateur
Propulsé par Kunena
We use cookies
Ce site utilise des cookies. Certains sont essentiels au fonctionnement et d’autres peuvent être placés par des services externes (captchas) intégrés. Vous pouvez décider d'autoriser ou non les cookies. Si vous les rejetez certaines fonctionnalités seront désactivées comme par exemple les vidéos YouTube et des problèmes d'authentification pourront alors survenir.