Le gestionnaire KeePass est touché par une vulnérabilité qui permet à l'attaquant de récupérer le mot de passe principal des victimes exposées.
Si même les gestionnaires de mots de passe souffrent de brèches sérieuses de sécurité, mais où va le monde ? Après les (nombreux) déboires de LastPass, cette fois c'est son concurrent KeePass, en théorie censé chiffrer toute sa base de données, qui est en souffrance. Le gestionnaire de mots de passe open source et gratuit de près de 20 ans d'âge est touché par une faille critique, découverte par un chercheur sur GitHub.
Une faille exploitable sur Windows, macOS et Linux
La faille en question permet de récupérer le mot de passe maître, qui est ô combien crucial pour tous les utilisateurs de l'outil, car c'est avec ce seul identifiant de protection que l'on peut accéder à toute la base de données comprenant donc, les mots de passe, les noms d'utilisateur, les URL et autres.
Comprenez ainsi que cette base de données, chiffrée, ne peut être débloquée qu'avec le mot de passe maître. Mieux vaut donc éviter qu'il tombe entre de mauvaises mains, parce qu'autant se dire que le hacker aurait accès à un vrai coffre au trésor.
La vulnérabilité permet de récupérer le mot de passe principal en clair à partir d'un vidage mémoire (ou vidage de la RAM), et ce, même lorsque l'espace de travail est verrouillé, ou qu'il ne fonctionne plus, expliquent les spécialistes de Malwarebytes, qui offrent une nouvelle lecture de la faille, d'ailleurs exploitable sur Windows, macOS et Linux.
Une vulnérabilité qui ne sera corrigée que cet été
Seul le premier caractère du mot de passe d'un utilisateur ne peut pas être récupéré. Au-delà de la criticité certaine de la faille, il n'est pas urgent de paniquer, selon les spécialistes. Si vous possédez un compte KeePass, vous ne risquez rien, a priori, car l'attaquant doit d'abord avoir compromis votre appareil. Et si les chercheurs cyber appellent à la prudence, ils précisent aussi qu'il existe différents moyens de se prémunir de cette vulnérabilité.
L'un d'eux consiste en l'utilisation d'une clé physique, une Yubikey par exemple, qui vous permettra de conserver le mot de passe maître hors de la zone de texte. Il ne se retrouvera, en effet, pas dans la mémoire système.
La dernière version disponible de KeePass (2.53.1) est malheureusement aussi vulnérable. La faille sera corrigée dans la version 2.54, que KeePass devrait déployer cet été, probablement dans le courant du mois de juillet. Il faudra être patient, les développeurs de l'application expliquant travailler sur d'autres fonctionnalités liées à la sécurité.
Source : GitHub, Malwarebytes Labs