Le générateur de mots de passe aléatoires de Kaspersky n'était pas aléatoireCrédits : matejmo/iStock

« Le générateur de mots de passe inclus dans Kaspersky Password Manager a rencontré plusieurs problèmes », a expliqué mardi l'équipe de recherche de Donjon sur son blog. « Le plus critique est qu'il utilisait un générateur de nombres pseudo-aléatoires (PRNG) non adapté à des fins cryptographiques. Sa seule source d'entropie était l'heure actuelle. Tous les mots de passe qu'il créait pouvaient être brutalement forcés en quelques secondes ».

Il générait en effet des mots de passe identiques à tout moment et partout dans le monde : « Par exemple, il y a 315 619 200 secondes entre 2010 et 2021, donc KPM pourrait générer au plus 315 619 200 mots de passe pour un jeu de caractères donné. Les forcer brutalement prend quelques minutes ».

« Kaspersky a corrigé un problème de sécurité dans Kaspersky Password Manager, qui permettait potentiellement à un attaquant de découvrir les mots de passe générés par l'outil », a déclaré un porte-parole de l'entreprise dans un e-mail à The Register. Il « n'était possible que dans le cas improbable où l'attaquant connaissait les informations du compte de l'utilisateur et l'heure exacte à laquelle un mot de passe avait été généré. Cela obligerait également la cible à réduire ses paramètres de complexité de mot de passe ».

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !