Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Sur Android, des chercheurs pointent des vulnérabilités dans les gestionnaires de mots de passe

Les autres ne sont pas inviolables pour autant
Internet 3 min
Sur Android, des chercheurs pointent des vulnérabilités dans les gestionnaires de mots de passe
Crédits : Georgijevic/iStock

Une équipe de chercheurs en sécurité s’est penchée sur neuf solutions de gestion des mots de passe pour Android, parmi lesquelles les célèbres 1Password, Dashlane et LastPass. Des soucis de sécurité ont été relevés et communiqués aux éditeurs. Ils sont normalement tous résolus.

Les gestionnaires de mots de passe (voir nos articles sur certains d’entre eux) sont des applications importantes, qu'elles soient natives ou web. Elles permettent de générer des mots de passe longs et complexes pour les sites et services, tout en les enregistrant pour les ressortir en cas de besoin. Ils peuvent répondre efficacement à deux problématiques courantes : la force des mots de passe et leur réutilisation, trop souvent fréquente.

Neuf gestionnaires, aucun sans faute

S'ils deviennent essentiels dans la vie de certains utilisateurs, leur prêter une confiance aveugle serait pourtant une erreur. Une équipe constituée de chercheurs de TeamSIK et de l’institut Fraunhofer SIT (Secure Information Technology) s’est penchée sur neuf gestionnaires présents sur Android et distribués dans le Play Store : LastPass, Keeper, 1Password, My Passwords, Dashlane, Informaticore Password Manager, F-Secure KEY, Keepsafe et Avast Passwords.

Aucun n’a pu passer à travers les mailles du filet, des problèmes ayant été détectés à chaque fois. Plusieurs étaient vulnérables à des attaques basées sur des traces de données ou par inspection du presse-papier. D’autres intégraient les clés de chiffrement en dur dans le code de l’application ou stockaient même parfois les mots de passe en clair dans une zone non protégée.

Toutes les failles ont été corrigées

Le rapport, publié mardi, liste pour chaque application les problèmes précis qui ont été trouvés. Dans LastPass, la clé maitre était ainsi présente en dur dans le gestionnaire, des données pouvaient fuiter dans la recherche du navigateur intégré et des données privées pouvaient être captées. Dans Dashlane, des données privées pouvaient également être lues depuis le dossier de l’application, une attaque sur les résidus pouvait permettre l’obtention de la clé maître, et le navigateur intégré était poreux sur les mots de passe utilisés dans les sous-domaines.

Les résultats de ces recherches seront présentés durant la conférence Hack In The Box le mois prochain. Entretemps, les chercheurs ont indiqué que toutes les vulnérabilités signalées aux éditeurs ont été corrigées. Il est donc chaudement recommandé aux utilisateurs de mettre à jour les applications si de nouvelles moutures sont disponibles.

Le risque existe également sur les autres plateformes

Notez que ces découvertes ne concernent bien que les applications Android. Rien n’est dit sur les moutures iOS, ou même celles pour Windows et macOS. Ce qui ne veut évidemment pas dire qu’elles sont à l’abri du danger. D’ailleurs, selon le type d’erreur, il est possible que les mêmes erreurs aient été commises dans d’autres variantes d’une même application.

Les gestionnaires de mots de passe restent des composants sensibles jouant un rôle stratégique dans la sécurité. Comme tous services et logiciels, ils ne sont pas exempts de problèmes, mais la rapidité de correction est primordiale. Ils sont donc à surveiller, comme n’importe quel produit installés sur un appareil.

57 commentaires
Avatar de Gilbert_Gosseyn Abonné
Avatar de Gilbert_GosseynGilbert_Gosseyn- 02/03/17 à 16:25:46

Signaler ce commentaire aux modérateurs :

Hmmm en fait, le souci se situerai au niveau des apps, pas forcément le système ? (retourne lire)

Edit > Oui, titre un peu trompeur qui fait sous-entendre que le souci se situe niveau OS.

Édité par Gilbert_Gosseyn le 02/03/2017 à 16:27
Avatar de Bejarid INpactien
Avatar de BejaridBejarid- 02/03/17 à 16:31:33

Signaler ce commentaire aux modérateurs :

En effet, la news à pas grand chose à voir avec Android. Voir rien en faite.

Par contre, elle ne fait qu'enfoncer une porte ouverte : Non, utiliser de tels gestionnaires n'améliore pas la sécurité, au contraire elle la dégrade, car plus un système est complexe plus il est faillible.

Et quand on sait que la plupart font n'importe quoi avec leur communication réseau (cf ce qui est a été trouvé dans les trames rendu visible par le CloudBleed), c'est une complexité particulièrement friable...

Édité par Bejarid le 02/03/2017 à 16:32
Avatar de Gritou INpactien
Avatar de GritouGritou- 02/03/17 à 16:31:39

Signaler ce commentaire aux modérateurs :

Toujours plus pratique de regrouper tous les mots de passes au meme endroit pour tout perdre d'un coup <3

Avatar de darkbeast Abonné
Avatar de darkbeastdarkbeast- 02/03/17 à 16:32:50

Signaler ce commentaire aux modérateurs :

Bejarid a écrit :

En effet, la news à pas grand chose à voir avec Android. Voir rien en faite.

Par contre, elle ne fait qu'enfoncer une porte ouverte : Non, utiliser de tels gestionnaires n'améliore pas la sécurité, au contraire elle la dégrade, car plus un système est complexe plus il est faillible.

Et quand on sait que la plupart font n'importe quoi avec leur communication réseau (cf ce qui est a été trouvé dans les trames rendu visible par le CloudBleed), c'est une complexité particulièrement friable...

si les tests on été fait sur des téléphones sous android

Avatar de Carpette INpactien
Avatar de CarpetteCarpette- 02/03/17 à 16:39:36

Signaler ce commentaire aux modérateurs :

Bejarid a écrit :

En effet, la news à pas grand chose à voir avec Android. Voir rien en faite.

Par contre, elle ne fait qu'enfoncer une porte ouverte : Non, utiliser de tels gestionnaires n'améliore pas la sécurité, au contraire elle la dégrade, car plus un système est complexe plus il est faillible.

Et quand on sait que la plupart font n'importe quoi avec leur communication réseau (cf ce qui est a été trouvé dans les trames rendu visible par le CloudBleed), c'est une complexité particulièrement friable...

N'exagerons rien, sous un OS plus classique c'est quand meme plus secure que d'avoir des mdp dans un pauvre fichier texte. Et je suppose que les programmes version desktop ont ete beaucoup plus verifies que les apps.

Avatar de jackjack2 Abonné
Avatar de jackjack2jackjack2- 02/03/17 à 17:07:48

Signaler ce commentaire aux modérateurs :

Tester Keepass2Android aurait été pas mal aussi, on a pas tous envie de faire confiance à des logiciels propriétaires pour nos mots de passe

Avatar de Cherokee INpactien
Avatar de CherokeeCherokee- 02/03/17 à 17:23:12

Signaler ce commentaire aux modérateurs :

et la solution de Norton ?https://play.google.com/store/apps/details?id=com.symantec.mobile.idsafe&amp...

Avatar de evilny0 Abonné
Avatar de evilny0evilny0- 02/03/17 à 17:25:57

Signaler ce commentaire aux modérateurs :

Exactement ce que je me disais... vu que je l'utilise j'aurais bien aimé savoir ce qu'il en est :).

Avatar de wanou2 Abonné
Avatar de wanou2wanou2- 02/03/17 à 17:27:56

Signaler ce commentaire aux modérateurs :

Rien de tel que le cerveau en somme.

Je suis entrain de mettre en place un moyen mnémotechnique unique pour tout mes mots de passe (sauf les sites d'argents et mon mail principal).
En fait, je construis mon mot de passe de façon logique. Ainsi, si mon mot de passe se retrouve dans la nature avec mon mails, ils ne pourront pas être utiliser de façons automatiser avec une méthode en masse. Si quelqu'un trouve la logique... tant pis mais le pirate mettre du temps à trouver les sites que j'utilise.

Avatar de sered Abonné
Avatar de seredsered- 02/03/17 à 17:28:05

Signaler ce commentaire aux modérateurs :

Je plussoie !

Il n'est plus possible de commenter cette actualité.
Page 1 / 6