Depuis l’arrivée de Windows 10, Microsoft a décidé de préinstaller des logiciels tiers dans son système d’exploitation sans vraiment demander l’avis de l’utilisateur. Avec Keeper, un gestionnaire de mots de passe, l’éditeur a fait une bien mauvaise pioche. Le logiciel est tombé entre les mains de Tavis Ormandy, le redoutable chercheur en sécurité de Google Project Zero. En deux temps trois mouvements, celui-ci trouve une faille de sécurité « triviale » qui permet à « n’importe quel site web de voler n’importe quel mot de passe » dans le gestionnaire.
I created a new Windows 10 VM with a pristine image from MSDN, and noticed a third party password manager is now installed by default. It didn't take long to find a critical vulnerability. https://t.co/dbkznucgLm
— Tavis Ormandy (@taviso) December 15, 2017
Pour le prouver, l’expert a mis en ligne une page de démonstration capable de voler le mot de passe d’un compte Twitter. Pour cela, elle s’appuie sur un code Javascript qui va injecter du contenu dans un formulaire d’authentification, le valider puis utiliser une fonction de l’extension Keeper pour accéder au code secret.
L’éditeur a rapidement réagi en désactivant la fonction en question dans la dernière version de l’extension (11.4.4). Selon Keeper, la mise à jour a été diffusée automatiquement sur Edge, Chrome et Firefox. Les utilisateurs de Safari, en revanche, doivent procéder à une mise à jour manuelle. Selon l’éditeur, aucun utilisateur n’a, semble-t-il, été piraté au travers de cette faille.
Ce n’est pas la première fois que Tavis Ormandy épingle ce gestionnaire de mots de passe. En 2016, il avait déjà mis en lumière une faille tout à fait comparable dans son extension de navigateur. « Je n’ai changé que les sélecteurs et la même attaque fonctionne à nouveau », souligne-t-il. Ce qui n’est pas franchement rassurant.
Par le passe, le chercheur avait également détecté une série de failles critiques dans Lastpass, un autre gestionnaire de mots de passe. Pour sa part, il recommande l’usage du logiciel open source KeePass, qu’il estime comme étant « sécurisé ».
That is a false dichotomy. The options are not limited to only using the same password everywhere or using a dangerously bad password manager, you could also use a safe password manager, like KeePass.
— Tavis Ormandy (@taviso) December 15, 2017
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.