Des chercheurs de l'ETH Zurich et de l'Università della Svizzera italiana ont révélé 27 vulnérabilités dans quatre gestionnaires de mots de passe basés sur le cloud largement utilisés qui pourraient permettre à des pirates d'accéder aux coffres-forts contenant les identifiants ou de modifier les mots de passe stockés. Les produits concernés et le nombre de scénarios d'attaque identifiés dans la recherche comprennent Bitwarden, LastPass, Dashlane et 1Password.Selon un rapport de Keeper Security, les gens ont du mal à gérer tous leurs mots de passe, avec 62 % des répondants inquiétant de devoir gérer un trop grand nombre de mots de passe. Si 85 % des personnes interrogées pensent que leurs mots de passe sont sécurisés, plus de la moitié admettent les partager. Ces données montrent que "les connaissances ne suffisent pas à atténuer les cyber-risques". L'adoption d'un gestionnaire de mots de passe, la création de mots de passe forts et uniques pour chaque compte et l'activation de l'authentification multifactorielle (MFA) partout où elle est disponible peuvent considérablement améliorer la cybersécurité personnelle d'un individu.
Un gestionnaire de mots de passe est un logiciel qui évite la fatigue liée aux mots de passe en générant, remplissant automatiquement et stockant les mots de passe. Ils sont utiles pour les applications locales ou les applications web telles que les boutiques en ligne ou les réseaux sociaux. Les navigateurs web ont généralement un gestionnaire de mots de passe intégré. Les gestionnaires de mots de passe exigent généralement que l'utilisateur crée et mémorise un seul mot de passe pour déverrouiller l'accès aux mots de passe stockés. Les gestionnaires de mots de passe peuvent intégrer l'authentification multifactorielle et l'authentification par clé d'accès.
Des chercheurs de l'ETH Zurich et de l'Università della Svizzera italiana ont révélé 27 vulnérabilités dans quatre gestionnaires de mots de passe basés sur le cloud largement utilisés qui pourraient permettre à des pirates d'accéder aux coffres-forts contenant les identifiants ou de modifier les mots de passe stockés. Les produits concernés et le nombre de scénarios d'attaque identifiés dans la recherche comprennent Bitwarden, LastPass, Dashlane et 1Password. Ensemble, ces gestionnaires de mots de passe servent plus de 60 millions d'utilisateurs et environ 125 000 entreprises. L'étude s'est concentrée sur 25 attaques liées à la récupération de mots de passe, démontrant des scénarios de preuve de concept plutôt que des exploitations confirmées dans des incidents réels.
Les vulnérabilités sont regroupées en quatre domaines principaux : le dépôt de clés, le chiffrement des coffres-forts, le partage et la rétrocompatibilité. Les problèmes liés au dépôt de clés affectent les flux de récupération des comptes et comprennent des cas où les clés de déchiffrement pourraient être accessibles sans authentification, Bitwarden étant lié à trois scénarios et LastPass à un seul. Les faiblesses du chiffrement des coffres-forts pourraient permettre de déduire ou de manipuler les données champ par champ, ce qui, dans certains cas, pourrait exposer les noms d'utilisateur et les mots de passe, affectant LastPass, Bitwarden et Dashlane. Les failles de partage pourraient permettre aux attaquants d'accéder à des dossiers partagés ou d'ajouter des éléments aux coffres-forts, tandis que la prise en charge de la rétrocompatibilité peut permettre des attaques par downgrade, Dashlane et Bitwarden étant concernés par plusieurs problèmes.
Il est également important de noter que malgré ces vulnérabilités potentielles, les chercheurs ont suivi un processus de divulgation de 90 jours avant la publication et n'ont signalé aucune preuve d'exploitation dans la nature. Depuis lors, les fournisseurs ont déjà publié plusieurs correctifs : 1Password a déclaré que ses deux scénarios reflètent les limites architecturales déjà couvertes dans son livre blanc sur la conception de la sécurité, Bitwarden a déclaré que tous les problèmes signalés ont été résolus, et Dashlane et LastPass ont également publié des déclarations décrivant leurs mesures d'atténuation.
En 2025, une étude a révélé que les gestionnaires de mots de passe tels que 1Password sont les nouvelles cibles des pirates informatiques. Les recherches de Picus Security révèlent notamment que 25 % des logiciels malveillants ciblent désormais ces outils de gestion de mots de passe. Selon le Dr Suleyman Ozarslan, vice-président de Picus Labs, les acteurs malveillants programment des logiciels malveillants pour mener toutes sortes d'attaques. « Les acteurs de la menace utilisent des méthodes d'extraction sophistiquées, y compris le scraping de la mémoire, la collecte du registre et la compromission des magasins de mots de passe locaux et basés sur le cloud, pour obtenir des informations d'identification qui donnent aux attaquants les clés du royaume. », a déclaré Suleyman Ozarslan.
Voici un extrait du rapport :
Chiffrement à divulgation nulle de connaissance : Analyse comparative de la sécurité de trois gestionnaires de mots de passe basés sur le cloud
Les gestionnaires de mots de passe basés sur le cloud aident les utilisateurs à stocker et à gérer leurs identifiants en les cryptant dans un coffre-fort protégé par un mot de passe principal unique. Les principaux fournisseurs commercialisent cette...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.