Cet énorme exploit du gestionnaire de mots de passe pourrait ne jamais être corrigé
Ces derniers mois ont été difficiles pour les gestionnaires de mots de passe, mais principalement pour LastPass. Mais après les révélations selon lesquelles LastPass avait subi une brèche majeure , l'attention se tourne désormais vers le gestionnaire open-source KeePass.
Des accusations ont circulé selon lesquelles une nouvelle vulnérabilité permet aux pirates de voler subrepticement l'intégralité de la base de données de mots de passe d'un utilisateur en texte clair non crypté. C'est une affirmation incroyablement sérieuse, mais les développeurs de KeePass la contestent.
KeePass est un gestionnaire de mots de passe open source qui stocke son contenu sur l'appareil d'un utilisateur, plutôt que dans le cloud comme les offres concurrentes. Comme beaucoup d'autres applications, cependant, son coffre-fort de mots de passe peut être protégé par un mot de passe principal.
La vulnérabilité, enregistrée en tant que CVE-2023-24055 , est accessible à toute personne disposant d'un accès en écriture au système d'un utilisateur. Une fois que cela a été obtenu, un acteur de la menace peut ajouter des commandes au fichier de configuration XML de KeePass qui exportent automatiquement la base de données de l'application – y compris tous les noms d'utilisateur et mots de passe – dans un fichier en texte brut non crypté.
Grâce aux modifications apportées au fichier XML, le processus se fait automatiquement en arrière-plan, de sorte que les utilisateurs ne sont pas avertis que leur base de données a été exportée. L'auteur de la menace peut ensuite extraire la base de données exportée vers un ordinateur ou un serveur qu'il contrôle.
ça ne sera pas réglé
Cependant, les développeurs de KeePass ont contesté la classification du processus comme une vulnérabilité, car toute personne ayant un accès en écriture à un appareil peut mettre la main sur la base de données de mots de passe en utilisant différentes méthodes (parfois plus simples).
En d'autres termes, une fois que quelqu'un a accès à votre appareil, ce type d'exploit XML est inutile. Les attaquants pourraient installer un enregistreur de frappe pour obtenir le mot de passe principal, par exemple. Le raisonnement est que s'inquiéter de ce type d'attaque revient à fermer la porte après que le cheval s'est enfui. Si un attaquant a accès à votre ordinateur, corriger l'exploit XML n'aidera pas.
La solution, selon les développeurs, est de « sécuriser l'environnement (en utilisant un logiciel antivirus, un pare-feu, en n'ouvrant pas de pièces jointes inconnues, etc.). KeePass ne peut pas fonctionner comme par magie en toute sécurité dans un environnement non sécurisé.
Que pouvez-vous faire?
Bien que les développeurs de KeePass ne semblent pas disposés à résoudre le problème, vous pouvez prendre vous-même des mesures. La meilleure chose à faire est de créer un fichier de configuration imposé . Cela aura priorité sur les autres fichiers de configuration, atténuant toute modification malveillante apportée par des forces extérieures (telle que celle utilisée dans la vulnérabilité d'exportation de la base de données).
Vous devrez également vous assurer que les utilisateurs réguliers n'ont pas accès en écriture aux fichiers ou dossiers importants contenus dans le répertoire KeePass, et que le fichier KeePass .exe et le fichier de configuration appliqué se trouvent dans le même dossier.
Et si vous ne vous sentez pas à l'aise de continuer à utiliser KeePass, il existe de nombreuses autres options. Essayez de passer à l'un des meilleurs gestionnaires de mots de passe pour garder vos identifiants et vos détails de carte de crédit plus sûrs que jamais.
Bien que ce soit sans aucun doute une mauvaise nouvelle pour le monde des gestionnaires de mots de passe, ces applications valent toujours la peine d'être utilisées. Ils peuvent vous aider à créer des mots de passe forts et uniques qui sont cryptés sur tous vos appareils. C'est beaucoup plus sûr que d' utiliser "123456" pour chaque compte .