Une équipe de recherche a identifié des vulnérabilités dans trois gestionnaires de mots de passe. Ces outils, qui stockent vos codes dans le cloud, restent pour autant l’un des meilleurs remparts face aux risques de piratage. Les explications et les conseils pour améliorer votre sécurité en ligne.

Des chercheuses et chercheurs de l’École polytechnique fédérale de Zurich (EPFZ) et de l’Université de la Suisse italienne (USI) à Lugano ont analysé l’architecture de sécurité de trois gestionnaires de mots de passe populaires basés sur le cloud: Bitwarden, LastPass et Dashlane.

Ensemble, ces trois services comptent environ 60 millions d’utilisatrices et utilisateurs et détiennent une part de marché de 23%. Tous trois mettent en avant la « Zero Knowledge Encryption », c’est-à-dire la promesse que les mots de passe enregistrés sont chiffrés de telle sorte que même le fournisseur ne peut pas y accéder.

Accès complet aux mots de passe

Les différentes attaques menées par les équipes de recherche contre les trois gestionnaires de mots de passe ont décelé des vulnérabilités dans 25 cas au total: douze contre Bitwarden, sept contre LastPass et six contre Dashlane, ont indiqué les chercheuses et chercheurs dans le compte-rendu de leur étude.

Les failles concernaient notamment la récupération de compte, le partage de mots de passe ainsi que des méthodes de chiffrement obsolètes encore présentes dans le système afin de garantir la compatibilité avec d’anciennes versions du logiciel. Dans la majorité des scénarios testés, les équipes ont pu obtenir un accès complet aux mots de passe enregistrés et même les manipuler.

Dans ces attaques, ce n’est pas le chiffrement lui-même qui a été « cassé ». En piratant le serveur du gestionnaire de mots de passe, les attaquants ont pu amener l’application installée localement à envoyer les mots de passe au serveur d’une manière qui permet aux criminels de les déchiffrer avec leur propre clé. Pour cela, des actions courantes comme se connecter, ouvrir le coffre-fort numérique ou synchroniser les données suffisent. Cette opération ne nécessite pas d’ordinateurs particulièrement puissants.

Des attaques complexes mais payantes

Pirater le serveur d’un gestionnaire de mots de passe n’est pas chose aisée, nuance le chercheur Matteo Scarlata de l’EPFZ. Pour la plupart des cybercriminels, il est plus simple d’obtenir un mot de passe par phishing ou par d’autres stratagèmes. Les méthodes décrites dans l’étude s’adresseraient plutôt à des hackers expérimentés, éventuellement agissant pour le compte et avec le soutien d’un État ou d’un service de renseignement.

Toutefois, souligne Matteo Scarlata, une fois l’accès à un serveur obtenu, il est possible de dérober des mots de passe à une échelle bien plus large qu’au moyen d’attaques de phishing isolées. Selon les chercheurs, des failles similaires à celles mises au jour dans Bitwarden, LastPass et Dashlane existent probablement aussi dans d’autres gestionnaires de mots de passe.

Contenu externe

Ce contenu externe ne peut pas être affiché car il est susceptible de collecter des données personnelles. Pour voir ce contenu vous devez autoriser la catégorie Services Tiers.

Accepter Plus d’info

Les failles sont en cours de correction

Le passé montre que les serveurs de gestionnaires de mots de passe ne sont pas invulnérables. En 2022, des hackers ont disposé d’un accès complet aux serveurs de LastPass pendant près de trois mois. À l’époque, ils n’avaient pas réussi à obtenir des mots de passe non chiffrés, mais cela aurait été possible avec les méthodes décrites.

Comme il est d’usage dans le domaine du piratage éthique (non malveillant), les fournisseurs de gestionnaires de mots de passe ont été informés avant la publication de l’étude et ont disposé de 90 jours pour corriger les failles. Bitwarden serait le plus avancé dans les correctifs, tandis que, selon les chercheurs, il resterait encore beaucoup à faire chez LastPass.

Des outils qui restent extrêmement utiles

Et maintenant, que faire? Pour le chercheur Matteo Scarlata, il ne faut « en aucun cas » renoncer à utiliser un gestionnaire de mots de passe, qui constitue probablement la mesure la plus efficace que le grand public peut prendre pour renforcer sa sécurité.

Il convient toutefois de vérifier si son fournisseur a corrigé les failles décrites. En outre, il est recommandé de ne pas se fier uniquement aux mots de passe, mais d’activer une authentification à deux facteurs ou des passkeys – par exemple via un code SMS, une empreinte digitale ou une clé de sécurité USB.

Jürg Tschirren, SRF

Adaptation pour RTSinfo: Didier Kottelat