{"id":11051,"date":"2026-02-19T07:11:13","date_gmt":"2026-02-19T07:11:13","guid":{"rendered":"https:\/\/www.europesays.com\/ch-fr\/11051\/"},"modified":"2026-02-19T07:11:13","modified_gmt":"2026-02-19T07:11:13","slug":"des-failles-critiques-decouvertes-dans-trois-gestionnaires-de-mots-de-passe-tres-populaires","status":"publish","type":"post","link":"https:\/\/www.europesays.com\/ch-fr\/11051\/","title":{"rendered":"Des failles critiques d\u00e9couvertes dans trois gestionnaires de mots de passe tr\u00e8s populaires"},"content":{"rendered":"

Une \u00e9quipe de recherche a identifi\u00e9 des vuln\u00e9rabilit\u00e9s dans trois gestionnaires de mots de passe. Ces outils, qui stockent vos codes dans le cloud, restent pour autant l’un des meilleurs remparts face aux risques de piratage. Les explications et les conseils pour am\u00e9liorer votre s\u00e9curit\u00e9 en ligne.<\/p>\n

Des chercheuses et chercheurs de l’\u00c9cole polytechnique f\u00e9d\u00e9rale de Zurich (EPFZ) et de l’Universit\u00e9 de la Suisse italienne (USI) \u00e0 Lugano ont analys\u00e9 l’architecture de s\u00e9curit\u00e9 de trois gestionnaires de mots de passe populaires bas\u00e9s sur le cloud: Bitwarden, LastPass et Dashlane.<\/p>\n

Ensemble, ces trois services comptent environ 60 millions d’utilisatrices et utilisateurs et d\u00e9tiennent une part de march\u00e9 de 23%. Tous trois mettent en avant la \u00ab\u00a0Zero Knowledge Encryption\u00a0\u00bb, c’est-\u00e0-dire la promesse que les mots de passe enregistr\u00e9s sont chiffr\u00e9s de telle sorte que m\u00eame le fournisseur ne peut pas y acc\u00e9der.<\/p>\n

Acc\u00e8s complet aux mots de passe<\/p>\n

Les diff\u00e9rentes attaques men\u00e9es par les \u00e9quipes de recherche contre les trois gestionnaires de mots de passe ont d\u00e9cel\u00e9 des vuln\u00e9rabilit\u00e9s dans 25 cas au total<\/a>: douze contre Bitwarden, sept contre LastPass et six contre Dashlane, ont indiqu\u00e9 les chercheuses et chercheurs dans le compte-rendu de leur \u00e9tude.<\/p>\n

Les failles concernaient notamment la r\u00e9cup\u00e9ration de compte, le partage de mots de passe ainsi que des m\u00e9thodes de chiffrement obsol\u00e8tes encore pr\u00e9sentes dans le syst\u00e8me afin de garantir la compatibilit\u00e9 avec d’anciennes versions du logiciel. Dans la majorit\u00e9 des sc\u00e9narios test\u00e9s, les \u00e9quipes ont pu obtenir un acc\u00e8s complet aux mots de passe enregistr\u00e9s et m\u00eame les manipuler.<\/p>\n

Dans ces attaques, ce n’est pas le chiffrement lui-m\u00eame qui a \u00e9t\u00e9 \u00ab\u00a0cass\u00e9\u00a0\u00bb. En piratant le serveur du gestionnaire de mots de passe, les attaquants ont pu amener l’application install\u00e9e localement \u00e0 envoyer les mots de passe au serveur d’une mani\u00e8re qui permet aux criminels de les d\u00e9chiffrer avec leur propre cl\u00e9. Pour cela, des actions courantes comme se connecter, ouvrir le coffre-fort num\u00e9rique ou synchroniser les donn\u00e9es suffisent. Cette op\u00e9ration ne n\u00e9cessite pas d’ordinateurs particuli\u00e8rement puissants.<\/p>\n

Des attaques complexes mais payantes<\/p>\n

Pirater le serveur d’un gestionnaire de mots de passe n’est pas chose ais\u00e9e, nuance le chercheur Matteo Scarlata de l’EPFZ. Pour la plupart des cybercriminels, il est plus simple d’obtenir un mot de passe par phishing ou par d’autres stratag\u00e8mes. Les m\u00e9thodes d\u00e9crites dans l’\u00e9tude s’adresseraient plut\u00f4t \u00e0 des hackers exp\u00e9riment\u00e9s, \u00e9ventuellement agissant pour le compte et avec le soutien d’un \u00c9tat ou d’un service de renseignement.<\/p>\n

Toutefois, souligne Matteo Scarlata, une fois l’acc\u00e8s \u00e0 un serveur obtenu, il est possible de d\u00e9rober des mots de passe \u00e0 une \u00e9chelle bien plus large qu’au moyen d’attaques de phishing isol\u00e9es. Selon les chercheurs, des failles similaires \u00e0 celles mises au jour dans Bitwarden, LastPass et Dashlane existent probablement aussi dans d’autres gestionnaires de mots de passe.<\/p>\n

Contenu externe<\/p>\n

Ce contenu externe ne peut pas \u00eatre affich\u00e9 car il est susceptible de collecter des donn\u00e9es personnelles. Pour voir ce contenu vous devez autoriser la cat\u00e9gorie Services Tiers. <\/p>\n

Accepter Plus d’info <\/p>\n

Les failles sont en cours de correction<\/p>\n

Le pass\u00e9 montre que les serveurs de gestionnaires de mots de passe ne sont pas invuln\u00e9rables. En 2022, des hackers ont dispos\u00e9 d’un acc\u00e8s complet aux serveurs de LastPass pendant pr\u00e8s de trois mois. \u00c0 l’\u00e9poque, ils n’avaient pas r\u00e9ussi \u00e0 obtenir des mots de passe non chiffr\u00e9s, mais cela aurait \u00e9t\u00e9 possible avec les m\u00e9thodes d\u00e9crites.<\/p>\n

Comme il est d’usage dans le domaine du piratage \u00e9thique (non malveillant), les fournisseurs de gestionnaires de mots de passe ont \u00e9t\u00e9 inform\u00e9s avant la publication de l’\u00e9tude et ont dispos\u00e9 de 90 jours pour corriger les failles. Bitwarden serait le plus avanc\u00e9 dans les correctifs, tandis que, selon les chercheurs, il resterait encore beaucoup \u00e0 faire chez LastPass.<\/p>\n

Des outils qui restent extr\u00eamement utiles<\/p>\n

Et maintenant, que faire? Pour le chercheur Matteo Scarlata, il ne faut \u00ab\u00a0en aucun cas\u00a0\u00bb renoncer \u00e0 utiliser un gestionnaire de mots de passe, qui constitue probablement la mesure la plus efficace que le grand public peut prendre pour renforcer sa s\u00e9curit\u00e9.<\/p>\n

Il convient toutefois de v\u00e9rifier si son fournisseur a corrig\u00e9 les failles d\u00e9crites. En outre, il est recommand\u00e9 de ne pas se fier uniquement aux mots de passe, mais d’activer une authentification \u00e0 deux facteurs ou des passkeys \u2013 par exemple via un code SMS, une empreinte digitale ou une cl\u00e9 de s\u00e9curit\u00e9 USB.<\/p>\n

J\u00fcrg Tschirren, SRF<\/p>\n

Adaptation pour RTSinfo: Didier Kottelat<\/p>\n","protected":false},"excerpt":{"rendered":"Une \u00e9quipe de recherche a identifi\u00e9 des vuln\u00e9rabilit\u00e9s dans trois gestionnaires de mots de passe. Ces outils, qui…\n","protected":false},"author":2,"featured_media":11052,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7],"tags":[2926,1065,503,929,1323,504,344,5406,102,3302,5407,5408,5079,61,57,59,58,806,226,5409,23,60,62],"class_list":{"0":"post-11051","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-sciences-et-technologies","8":"tag-attaque","9":"tag-chercheur","10":"tag-criminalite","11":"tag-critique","12":"tag-dialogue","13":"tag-droit-et-justice","14":"tag-economie-et-finances","15":"tag-equipe-de-recherche","16":"tag-etude","17":"tag-informatique-et-telecommunications","18":"tag-lastpass","19":"tag-mot-de-passe","20":"tag-piratage-informatique","21":"tag-science","22":"tag-science-and-technology","23":"tag-sciences","24":"tag-sciences-et-technologies","25":"tag-sciences-tech","26":"tag-securite","27":"tag-serveur-informatique","28":"tag-suisse","29":"tag-technologies","30":"tag-technology"},"share_on_mastodon":{"url":"","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/ch-fr\/wp-json\/wp\/v2\/posts\/11051","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/ch-fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/ch-fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/ch-fr\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/ch-fr\/wp-json\/wp\/v2\/comments?post=11051"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/ch-fr\/wp-json\/wp\/v2\/posts\/11051\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/ch-fr\/wp-json\/wp\/v2\/media\/11052"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/ch-fr\/wp-json\/wp\/v2\/media?parent=11051"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/ch-fr\/wp-json\/wp\/v2\/categories?post=11051"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/ch-fr\/wp-json\/wp\/v2\/tags?post=11051"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}