Un rapport trouve des problèmes uh-oh dans les gestionnaires de mots de passe populaires

Crédit :CC0 Domaine public

Des vulnérabilités ont été identifiées dans les gestionnaires de mots de passe fonctionnant sous Windows 10. Des évaluateurs de sécurité indépendants basés dans le Maryland ont publié un rapport plus tôt cette semaine présentant les résultats d'examens sur un certain nombre de gestionnaires de mots de passe populaires.

"Dans cet article, nous proposons des garanties de sécurité que les gestionnaires de mots de passe devraient offrir et examinons le fonctionnement sous-jacent de cinq gestionnaires de mots de passe populaires ciblant la plate-forme Windows 10, " ils ont dit.

Effacer les secrets de la mémoire lorsqu'ils ne sont pas utilisés ? C'est ce que les autorités avaient initialement prévu pour les gestionnaires de mots de passe. Une « assainissement de la mémoire une fois qu'un gestionnaire de mots de passe a été déconnecté et placé dans un état verrouillé » ? C'est ce qu'ils prévoyaient, trop.

Alors, que s'est-il passé lorsqu'ils ont procédé ? Ils ont dit que "l'extraction de secrets triviaux était possible à partir d'un gestionnaire de mots de passe verrouillé, y compris le mot de passe principal dans certains cas."

Charlie Osborne dans ZDNet résume les conclusions, écrivant que "ISE a pu extraire ces mots de passe et autres informations de connexion de la mémoire alors que le gestionnaire de mots de passe en question était verrouillé."

PC World en 2017, a défini un gestionnaire de mots de passe comme "une application qui mémorise vos mots de passe pour vous et les stocke dans un coffre-fort crypté. Un mot de passe principal déverrouille le coffre-fort lorsque vous devez récupérer un mot de passe ou en créer un nouveau, et le fait sans que personne ne puisse lire ce que vous tapez par-dessus votre épaule ou suivre la connexion avec un enregistreur de frappe."

Osborne a dit dans un exemple, "le mot de passe principal que les utilisateurs doivent utiliser pour accéder à leur cache d'informations d'identification a été stocké dans la RAM du PC en clair, format lisible."

Ce ne serait pas la première fois que l'on s'inquiète de mettre tous ses œufs dans le même panier. Ce ne sera pas non plus la dernière fois que vous entendrez tous les contre-arguments selon lesquels, risque mis à part, cela vaut toujours la peine d'utiliser un gestionnaire de mots de passe qui a été soigneusement choisi.

PC World en 2017 n'est qu'un des nombreux sites exprimant l'opinion que « malgré des problèmes de bugs et un marché inondé de bons et de mauvais choix, les experts en sécurité s'accordent, ce qui est rare, pour dire que les gestionnaires de mots de passe sont le moyen le plus sûr pour les gens de gérer leurs comptes. Les avantages en matière de sécurité l'emportent largement sur les risques."

Le registre en 2019 serait d'accord avec cela, même avec les conclusions de ce récent rapport. "Les gestionnaires de mots de passe peuvent laisser vos joyaux de la couronne en ligne" exposés dans la RAM "aux logiciels malveillants - mais bon, ils sont toujours meilleurs que l'alternative. » C'était son titre plus tôt cette semaine.

De plus, les failles de sécurité révélées par ISE ont été décrites par Le registre comme « légèrement ennuyeux » et « sans fin du monde ».

Ce point de vue résonne avec ce que le développeur de sécurité de 1Password, Jeffrey Goldberg, a dit PCMag dans un e-mail. "La menace réaliste de ce problème est limitée, ", a-t-il déclaré. "Aucun gestionnaire de mots de passe (ou quoi que ce soit d'autre) ne peut promettre de fonctionner en toute sécurité sur un ordinateur compromis."

"Le rapport ne suggère en aucun cas que vous ne devriez pas utiliser un gestionnaire de mots de passe, " dit Nichols.

Être sûr, les auteurs ont clairement indiqué que leurs résultats ne soutenaient aucune conclusion selon laquelle les gestionnaires de mots de passe étaient non seulement inutiles mais aussi risqués. "Tout d'abord, " ont déclaré les auteurs de l'ISE, « les gestionnaires de mots de passe sont une bonne chose. Tous les gestionnaires de mots de passe que nous avons examinés ajoutent de la valeur à la posture de sécurité de la gestion des secrets, et comme Troy Hunt, un chercheur actif en sécurité a écrit, « Les gestionnaires de mots de passe n'ont pas besoin d'être parfaits, ils doivent juste être meilleurs que de ne pas en avoir."

Leur intention dans le document n'était pas « de critiquer les implémentations spécifiques du gestionnaire de mots de passe, " mais plutôt " d'établir une base de référence minimale raisonnable à laquelle tous les gestionnaires de mots de passe doivent se conformer ".

En tout, l'un examine un problème de gestionnaire de mots de passe principalement « gestion sécurisée de la mémoire ».

Shaun Nichols dans Le registre a vu un fil conducteur parmi quatre gestionnaires de mots de passe qui laissaient les mots de passe - "soit le mot de passe principal, soit les informations d'identification individuelles - accessibles en mémoire. Cela permettrait potentiellement aux logiciels malveillants sur un système, malware particulier avec des droits d'administrateur, pour obtenir ces mots de passe."

Les auteurs du rapport ont souligné dans leurs conclusions que « chaque gestionnaire de mots de passe a également tenté d'effacer les secrets de la mémoire. Mais il restait des tampons résiduels contenant des secrets, probablement en raison de fuites de mémoire, références de mémoire perdues, ou des cadres d'interface graphique complexes qui n'exposent pas les mécanismes de gestion de la mémoire interne pour nettoyer les secrets."

Paul Lilly dans HotHardware commenté. "Le point à retenir semble être que l'utilisation d'un gestionnaire de mots de passe est toujours sage, mais il y a place à amélioration."

Menace , pendant ce temps, a transporté un certain nombre de réponses significatives de sociétés de gestion de mots de passe.

Sandor Palfy, CTO chez LastPass, a déclaré que la vulnérabilité mise en évidence par ISE était présente dans une application Windows « héritée », et que le gestionnaire de mots de passe LastPass a déjà reçu une mise à jour pour minimiser les risques.

Emmanuel Schalit, PDG de Dashlane, dit une fois que l'appareil est compromis, un attaquant finira par avoir accès à quoi que ce soit sur l'appareil et il n'y a aucun moyen de l'empêcher efficacement.

ISE avait un certain nombre de recommandations, selon PCMag . Parmi leurs conseils, citons (1) utilisez des produits antivirus réputés (2) fermez complètement un gestionnaire de mots de passe une fois que vous en avez terminé.

Les applications envoient des données utilisateur intimes à Facebook :rapport

Le système alloue mieux le traitement des données sensibles au temps entre les cœurs pour maintenir des temps de réponse utilisateur rapides

Électronique

La première centrale nucléaire flottante de Russie arrive au port

Le géant des télécoms EE lance les premiers services 5G du Royaume-Uni

Batteries lithium-ion imprimées en 3D

Science

Trouver les facteurs qui influencent le plus la corrosion de l'acier dans le béton armé

La durabilité à l'époque populiste

Cartographier l'univers primitif avec le télescope Webb de la NASA