Les gestionnaires de mots de passe sont des outils très intéressants. Ils combinent sécurité et praticité en stockant tous vos identifiants au même endroit, et vous permettent ainsi d’utiliser des mots de passe forts et complexes sans avoir à les retenir.

 

Mais ces gestionnaires de mots de passe doivent eux-mêmes être très sécurisés. Évidemment, s’ils étaient piratés, tous vos mots de passe pourraient être vus par les hackers, ce qui serait un désastre.

Les principales entreprises de gestionnaires de mots de passe sont sous pression après qu’un rapport a été publié par un groupe indépendant d’auditeurs de sécurité (en anglais Independent Security Evaluators – ISE) et qui dénonce des failles importantes qui exposent les identifiants des utilisateurs dans la mémoire d’un ordinateur lorsqu’il est verrouillé. Selon les chercheurs, cela rend les gestionnaires de mots de passe « pas plus sûrs que de conserver ses mots de passe dans un fichier. »

L’ISE a évalué les gestionnaires de mots de passe suivants : 1Password, Dashlane, KeePass et LastPass. Au total, ils sont utilisés par plus de 60 millions d’utilisateurs et 93 000 entreprises au total. Le rapport a montré que tous ces gestionnaires de mots de passe ne sont pas parvenus à fournir les dispositifs de sécurité pour protéger les mots de passe des utilisateurs comme promis dans leur publicité.

Le groupe s’est intéressé au fonctionnement de ces produits sous Windows 10 pour comprendre de quelle manière les mots de passe sont stockés lorsque le gestionnaire de mots de passe est verrouillé.

Naturellement, on pourrait penser que le gestionnaire de mots de passe est sûr lorsqu’il est verrouillé, mais selon l’ISE, ce n’est pas le cas. Les chercheurs se sont aperçus que, dans certains cas, le code maître (le mot de passe principal) était stocké en mode texte dans la mémoire de l’ordinateur.  Et quand le code maître est récupéré par les hackers, ils peuvent décrypter la base de données du gestionnaire de mots de passe.

Comme le dit l’ISE, cela revient à stocker ses mots de passe dans un document sur votre ordinateur, ce qui n’est évidemment pas conseillé.

Selon Adrian Bednarek, chercheur principal à l’ISE : « Au vu du très grande nombre de personnes qui utilisent déjà ces gestionnaires de mots de passe, ces failles vont encourager les hackers à voler les données des ordinateurs à l’aide de programmes malveillants. »

 

Doit-on arrêter d’utiliser les gestionnaires de mots de passe ?

C’est une très bonne chose de dénoncer les failles de ces outils, mais quelles autres alternatives avons-nous ? Tout d’abord, ne désactivez pas vos gestionnaires de mots de passe pour le moment : même l’ISE recommande de les conserver, il faut simplement suivre quelques conseils.

Premièrement, il ne faut pas laisser son gestionnaire de mots de passe fonctionner en arrière-plan, même s’il est verrouillé. Au contraire, il faut complètement fermer le programme.

Est-ce vraiment risqué ? Pour que l’attaque d’un hacker fonctionne, il doit avoir accès à la RAM de votre ordinateur. Pour cela, il doit pouvoir accéder physiquement à votre ordinateur, ou avoir un accès à distance à votre machine.

Selon Jake Moore, spécialiste en sécurité informatique à l’ESET, voler des codes maîtres n’est peut-être pas si intéressant que ça pour les hackers. En effet, quasiment tous les gestionnaires de mots de passe demandent deux authentifications lorsqu’ils sont utilisés sur un nouvel appareil.

Jake Moore ajoute que si l’on utilise une gestionnaire de mots de passe sur son smartphone, on est beaucoup plus protégés puisque l’attaque décrite se produit surtout sur les RAM des ordinateurs. « De plus, si on ajoute une application d’authentification telle que Authy ou Google Authenticator à notre mot de passe, notre compte est encore mieux protégé. Tant que l’on ne commet pas l’erreur de débutant d’utiliser le même mot de passe pour tous nos comptes, et que l’on voit les gestionnaires de mots de passe comme des mesures de sécurité et non des vulnérabilités, nous serons tous protégés. »

Emmanuel Schalit, PDG de Dashlane, un des gestionnaires de mots de passe concernés, décrit le rapport de l’ISE comme un « scénario théorique très classique dans le domaine de la sécurité ». Il ajoute que « cela ne se limite pas à Windows 10 mais s’applique à tout système et appareil connecté à internet. »

Schalit explique également que les données stockées par Dashlane sur un appareil sont cryptées et ne peuvent pas être lues par un hacker, même s’il a le contrôle total de votre appareil. « Une attaque serait seulement possible sur les données présentes dans la mémoire de l’appareil, et lorsque Dashlane est utilisé par une personne qui a tapé les codes maîtres. »

Le PDG de Dashlane indique que l’entreprise cherche à améliorer son gestionnaire de mots de passe sur le long terme, et ajoute : « Nous ne sommes pas d’accord avec la déclaration des chercheurs selon laquelle Dashlane ou même les autres marques de gestionnaires de mots de passe pourraient corriger ce problème. Dès que le système ou l’appareil est corrompu, un hacker aura accès à tout ce qui se trouve sur l’appareil et il n’y aucun moyen d’éviter cela. Il existe des solutions qui permettraient de balayer les données « sous le tapis », mais n’importe quel hacker un minimum expérimenté peut prendre le contrôle d’un appareil à distance et esquiver ces solutions très facilement. »

Pour faire court, il ne faut pas se débarrasser de nos gestionnaires de mots de passe pour le moment. Il faut simplement s’assurer qu’ils soient complètement fermés lorsque nous ne les utilisons plus, et les paramétrer pour qu’ils nous demandent deux authentifications et ainsi être vraiment protégés.