Une équipe de chercheurs en sécurité s’est penchée sur neuf solutions de gestion des mots de passe pour Android, parmi lesquelles les célèbres 1Password, Dashlane et LastPass. Des soucis de sécurité ont été relevés et communiqués aux éditeurs. Ils sont normalement tous résolus.
Les gestionnaires de mots de passe (voir nos articles sur certains d’entre eux) sont des applications importantes, qu'elles soient natives ou web. Elles permettent de générer des mots de passe longs et complexes pour les sites et services, tout en les enregistrant pour les ressortir en cas de besoin. Ils peuvent répondre efficacement à deux problématiques courantes : la force des mots de passe et leur réutilisation, trop souvent fréquente.
Neuf gestionnaires, aucun sans faute
S'ils deviennent essentiels dans la vie de certains utilisateurs, leur prêter une confiance aveugle serait pourtant une erreur. Une équipe constituée de chercheurs de TeamSIK et de l’institut Fraunhofer SIT (Secure Information Technology) s’est penchée sur neuf gestionnaires présents sur Android et distribués dans le Play Store : LastPass, Keeper, 1Password, My Passwords, Dashlane, Informaticore Password Manager, F-Secure KEY, Keepsafe et Avast Passwords.
Aucun n’a pu passer à travers les mailles du filet, des problèmes ayant été détectés à chaque fois. Plusieurs étaient vulnérables à des attaques basées sur des traces de données ou par inspection du presse-papier. D’autres intégraient les clés de chiffrement en dur dans le code de l’application ou stockaient même parfois les mots de passe en clair dans une zone non protégée.
Toutes les failles ont été corrigées
Le rapport, publié mardi, liste pour chaque application les problèmes précis qui ont été trouvés. Dans LastPass, la clé maitre était ainsi présente en dur dans le gestionnaire, des données pouvaient fuiter dans la recherche du navigateur intégré et des données privées pouvaient être captées. Dans Dashlane, des données privées pouvaient également être lues depuis le dossier de l’application, une attaque sur les résidus pouvait permettre l’obtention de la clé maître, et le navigateur intégré était poreux sur les mots de passe utilisés dans les sous-domaines.
Les résultats de ces recherches seront présentés durant la conférence Hack In The Box le mois prochain. Entretemps, les chercheurs ont indiqué que toutes les vulnérabilités signalées aux éditeurs ont été corrigées. Il est donc chaudement recommandé aux utilisateurs de mettre à jour les applications si de nouvelles moutures sont disponibles.
Le risque existe également sur les autres plateformes
Notez que ces découvertes ne concernent bien que les applications Android. Rien n’est dit sur les moutures iOS, ou même celles pour Windows et macOS. Ce qui ne veut évidemment pas dire qu’elles sont à l’abri du danger. D’ailleurs, selon le type d’erreur, il est possible que les mêmes erreurs aient été commises dans d’autres variantes d’une même application.
Les gestionnaires de mots de passe restent des composants sensibles jouant un rôle stratégique dans la sécurité. Comme tous services et logiciels, ils ne sont pas exempts de problèmes, mais la rapidité de correction est primordiale. Ils sont donc à surveiller, comme n’importe quel produit installés sur un appareil.
