Les développeurs contestent la vulnérabilité du gestionnaire de mots de passe KeePass
Une brèche dans la sécurité du gestionnaire de mots de passe KeePass risque de transférer vos mots de passe à des hackers. Mais de son côté, KeePass déclare que l’impact est relatif, étant donné que l’auteur doit pour cela déjà avoir accès à votre PC.
KeePass est un gestionnaire de mots de passe open source, mais contrairement aux acteurs dans le nuage, le service conserve vos mots de passe localement avec cryptage par un mot de passe principal.
Ces derniers jours, une brèche (CVE-2023-24055) s’est manifestée: si un cybercriminel a accès à votre PC et peut y modifier des choses, il lui est alors possible d’adapter le fichier de configuration XML. En effectuant l’ajustement ad hoc, c’est tout votre coffre-fort de mots de passe qui sera automatiquement conservé en texte brut sur votre PC, dès que vous aurez saisi le mot de passe principal. L’auteur pourra alors accéder ultérieurement à cette base de données sans avoir besoin du mot de passe principal.
Dangereux, mais…
Cela peut avoir de graves conséquences, mais en même temps, il convient de reconnaître que jusqu’à ce qu’un hacker ait accès à votre PC (à distance ou parce que le PC aura été laissé sans surveillance), pas mal d’efforts devront avoir été consentis, et le problème initial ne se trouvera pas chez KeePass, comme ce dernier le signale lui-même.
Dans un débat sur Sourceforge, l’organisation renvoie à un Q&A où elle fait observer que quelqu’un qui peut écrire des choses sur votre PC, est probablement capable de faire nettement pire que de maîtriser votre coffre-fort de mots de passe. En même temps, il ne lui serait pas si malaisé de se procurer vos mots de passe par d’autres moyens, comme par exemple en utilisant un outil qui garde la trace de vos frappes au clavier ou du copier/coller de vos textes.
Pour résoudre cette situation, les utilisateurs demandent à KeePass d’interdire par défaut ce genre d’exportations de bases de données silencieuses, à moins que l’utilisateur ne saisisse le mot de passe principal. Ou de sortir une version sans cette fonction. Ils soulignent qu’il peut toujours y avoir des moments où leur PC sera laissé sans surveillance.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici