Certains gestionnaires de mots de passe commerciaux peuvent être vulnérables aux cyberattaques par de fausses applications, de nouvelles recherches suggèrent.

Les experts en sécurité recommandent d'utiliser un complexe, mot de passe aléatoire et unique pour chaque compte en ligne, mais se souvenir de tous serait une tâche difficile. C'est là que les gestionnaires de mots de passe sont utiles.

Des coffres-forts cryptés accessibles par un seul mot de passe principal ou PIN, ils stockent et remplissent automatiquement les informations d'identification de l'utilisateur et sont fortement recommandés par le National Cyber ​​Security Centre du Royaume-Uni.

Cependant, Des chercheurs de l'Université de York ont ​​montré que certains gestionnaires de mots de passe commerciaux peuvent ne pas être un moyen fiable d'assurer la cybersécurité.

Après avoir créé une application malveillante pour usurper l'identité d'une application Google légitime, ils ont réussi à tromper deux des cinq gestionnaires de mots de passe qu'ils ont testés pour qu'ils donnent un mot de passe.

L'équipe de recherche a découvert que certains des gestionnaires de mots de passe utilisaient des critères faibles pour identifier une application et quel nom d'utilisateur et mot de passe suggérer pour le remplissage automatique. Cette faiblesse a permis aux chercheurs de se faire passer pour une application légitime en créant simplement une application malveillante avec un nom identique.

Auteur principal de l'étude, Dr. Siamak Shahandashti du Département d'informatique de l'Université de York, a déclaré : « Les vulnérabilités des gestionnaires de mots de passe offrent aux pirates la possibilité d'extraire des informations d'identification, compromettre des informations commerciales ou violer des informations sur les employés. Parce qu'ils sont les gardiens de beaucoup d'informations sensibles, une analyse de sécurité rigoureuse des gestionnaires de mots de passe est cruciale.

"Notre étude montre qu'une attaque de phishing à partir d'une application malveillante est tout à fait faisable. Si une victime est amenée à installer une application malveillante, elle pourra se présenter comme une option légitime à l'invite de remplissage automatique et avoir de grandes chances de succès."

« À la lumière des vulnérabilités de certains gestionnaires de mots de passe commerciaux que notre étude a révélés, nous suggérons qu'ils doivent appliquer des critères de correspondance plus stricts qui ne sont pas simplement basés sur le nom de package prétendu d'une application. »

Les chercheurs ont également découvert que certains gestionnaires de mots de passe n'avaient pas de limite quant au nombre de fois qu'un code PIN ou un mot de passe principal pouvait être saisi. Cela signifie que si les pirates avaient accès à l'appareil d'un individu, ils pourraient lancer une attaque « par force brute », deviner un code PIN à quatre chiffres en environ 2,5 heures.

En plus de ces nouvelles vulnérabilités, les chercheurs ont également dressé une liste des vulnérabilités précédemment divulguées identifiées dans une étude précédente et testé si elles avaient été résolues. Ils ont constaté que même si le plus grave de ces problèmes avait été résolu, beaucoup n'avaient pas été abordés.

Les chercheurs ont divulgué ces vulnérabilités aux gestionnaires de mots de passe.

Auteur principal de l'étude, Michael Carr, qui a effectué la recherche tout en étudiant pour sa maîtrise en cybersécurité au Département d'informatique, Université d'York, a déclaré :« De nouvelles vulnérabilités ont été découvertes grâce à des tests approfondis et divulguées de manière responsable aux fournisseurs. Certaines ont été corrigées immédiatement tandis que d'autres ont été considérées comme peu prioritaires.

"Des recherches supplémentaires sont nécessaires pour développer des modèles de sécurité rigoureux pour les gestionnaires de mots de passe, mais nous conseillerions toujours aux particuliers et aux entreprises de les utiliser car ils restent une option plus sûre et plus utilisable. Bien que ce ne soit pas impossible, les pirates devraient lancer une attaque assez sophistiquée pour accéder aux informations qu'ils stockent."

Revisiting Security Vulnerabilities in Commercial Password Managers sera présenté lors de la 35e conférence internationale sur la sécurité des systèmes TIC et la protection de la vie privée (IFIP SEC 2020) en septembre, 2020.