Je suis un fervent défenseur des gestionnaires de mots de passe. Certes, il existe de meilleures alternatives aux mots de passe, comme les clés d'accès, mais si un fournisseur ne propose que des options de mot de passe, ce qui est souvent le cas, on ne peut pas y faire grand-chose. Donc, pour l'instant, on semble coincés avec les mots de passe.
Tous les gestionnaires de mots de passe réputés affirment qu'ils ne peuvent pas voir vos mots de passe, même s'ils le voulaient. Mais des chercheurs ont découvert que ces gestionnaires de mots de passe cloud « zéro connaissance » sont plus vulnérables que ne le suggère leur marketing.
Les chercheurs précisent toutefois qu'il n'y a pas lieu de paniquer pour autant. Pour qu'une fuite totale des mots de passe se produise, il faudrait que des défaillances rares et graves surviennent, telles qu'un serveur malveillant ou totalement compromis, associées à des faiblesses spécifiques dans la conception et à l'activation de certaines fonctionnalités.
Le « problème » sous-jacent est que la plupart de ces gestionnaires de mots de passe sont basés sur le cloud. Très pratique si vous travaillez sur un autre appareil et avez besoin d'y accéder, mais cela augmente également la surface d'attaque. Le partage de vos mots de passe avec un autre appareil ou un autre utilisateur ouvre la porte à des accès indésirables.
Les chercheurs ont testé plusieurs fournisseurs différents, notamment LastPass, Bitwarden et Dashlane, et ont imaginé plusieurs scénarios d'attaque permettant de récupérer des mots de passe.
Faiblesses
Gestionnaires de mots de passe avec groupes d'utilisateurs
Dans les groupes, le partage des clés de récupération, des clés de groupe et des clés publiques d'administration signifie souvent qu'elles sont récupérées depuis le serveur sans garantie d'authenticité. Cela signifie que, dans certaines circonstances, un pirate pourrait y accéder.
Lorsqu'un administrateur de groupe a activé des politiques telles que la « récupération automatique ou manuelle », il est possible de les modifier silencieusement à l'aide d'un serveur compromis s'il n'y a pas de protection d'intégrité sur le « blob de politique » (un petit fichier de configuration) de l'organisation.
chiffrement faible chiffrement un serveur compromis
Votre gestionnaire de mots de passe prend votre mot de passe principal et le soumet plusieurs fois (par exemple, 600 000 fois) à l'algorithme PBKDF2 avant de stocker un hachage. Mais sur un serveur compromis, un pirate pourrait réduire le nombre d'itérations à, disons, 2, ce qui rendrait le mot de passe principal facile à deviner ou à forcer par attaque brute.
Options de récupération de compte
Sur un serveur compromis, un pirate pourrait modifier le blob de stratégie et changer les paramètres en « récupération automatique », puis l'envoyer aux clients. Le passage à la récupération automatique aide le pirate, car cela permet au système de transmettre vos clés de coffre-fort sans que personne n'ait à cliquer sur « approuver » ou même à s'en apercevoir.
Ainsi, l'attaquant peut transformer ce qui devrait être un processus d'urgence rare et visible par l'utilisateur en un mécanisme silencieux et routinier qu'il peut exploiter pour extraire des clés de coffre-fort à grande échelle ou de manière furtive et ciblée.
Compatibilité .
Pour éviter de bloquer les utilisateurs sur les anciens clients, les fournisseurs continuent de prendre en charge les hiérarchies de clés obsolètes et les modes non AEAD (Authenticated chiffrement Associated Data, chiffrement authentifié chiffrement données associées) tels que CBC (Cipher Block Chaining, chaînage de blocs chiffrés) sans contrôles d'intégrité robustes. Cela ouvre la porte aux attaques classiques par rétrogradation, dans lesquelles le serveur incite un client à utiliser des schémas plus faibles, puis récupère progressivement le texte en clair.
Comment rester en sécurité
Nous tenons à souligner que ces attaques seraient très ciblées et nécessiteraient un niveau élevé de compromission. Ainsi, les gestionnaires de mots de passe dans le cloud restent beaucoup plus sûrs que la réutilisation des mots de passe et les tableurs, mais leurs prétentions de « zéro connaissance » ne tiennent pas face à des attaques de type étatique.
Après une divulgation responsable, bon nombre des problèmes ont déjà été corrigés ou atténués, réduisant ainsi le nombre d'attaques possibles.
La plupart des attaques présentées nécessitent des fonctionnalités spécifiques aux entreprises (récupération de compte, coffres-forts partagés, appartenance à une organisation) ou l'utilisation de clients plus anciens/hérités. Soyez donc particulièrement vigilant à cet égard.
Activez l'authentification multifactorielle pour les comptes importants, afin que l'attaquant ne puisse pas accéder à vos données en obtenant simplement votre mot de passe.
Nous ne nous contentons pas de signaler les menaces, nous contribuons à protéger l'ensemble de votre identité numérique.
Les risques liés à la cybersécurité ne devraient jamais dépasser le stade des gros titres. Protégez vos informations personnelles et celles de votre famille en utilisant une protection d'identité.
