Une équipe de chercheurs en sécurité s’est penchée sur neuf solutions de gestion des mots de passe pour Android, parmi lesquelles les célèbres 1Password, Dashlane et LastPass. Des soucis de sécurité ont été relevés et communiqués aux éditeurs. Ils sont normalement tous résolus.
Les gestionnaires de mots de passe (voir nos articles sur certains d’entre eux) sont des applications importantes, qu'elles soient natives ou web. Elles permettent de générer des mots de passe longs et complexes pour les sites et services, tout en les enregistrant pour les ressortir en cas de besoin. Ils peuvent répondre efficacement à deux problématiques courantes : la force des mots de passe et leur réutilisation, trop souvent fréquente.
Neuf gestionnaires, aucun sans faute
S'ils deviennent essentiels dans la vie de certains utilisateurs, leur prêter une confiance aveugle serait pourtant une erreur. Une équipe constituée de chercheurs de TeamSIK et de l’institut Fraunhofer SIT (Secure Information Technology) s’est penchée sur neuf gestionnaires présents sur Android et distribués dans le Play Store : LastPass, Keeper, 1Password, My Passwords, Dashlane, Informaticore Password Manager, F-Secure KEY, Keepsafe et Avast Passwords.
Aucun n’a pu passer à travers les mailles du filet, des problèmes ayant été détectés à chaque fois. Plusieurs étaient vulnérables à des attaques basées sur des traces de données ou par inspection du presse-papier. D’autres intégraient les clés de chiffrement en dur dans le code de l’application ou stockaient même parfois les mots de passe en clair dans une zone non protégée.
Toutes les failles ont été corrigées
Le rapport, publié mardi, liste pour chaque application les problèmes précis qui ont été trouvés. Dans LastPass, la clé maitre était ainsi présente en dur dans le gestionnaire, des données pouvaient fuiter dans la recherche du navigateur intégré et des données privées pouvaient être captées. Dans Dashlane, des données privées pouvaient également être lues depuis le dossier de l’application, une attaque sur les résidus pouvait permettre l’obtention de la clé maître, et le navigateur intégré était poreux sur les mots de passe utilisés dans les sous-domaines.
Les résultats de ces recherches seront présentés durant la conférence Hack In The Box le mois prochain. Entretemps, les chercheurs ont indiqué que toutes les vulnérabilités signalées aux éditeurs ont été corrigées. Il est donc chaudement recommandé aux utilisateurs de mettre à jour les applications si de nouvelles moutures sont disponibles.
Le risque existe également sur les autres plateformes
Notez que ces découvertes ne concernent bien que les applications Android. Rien n’est dit sur les moutures iOS, ou même celles pour Windows et macOS. Ce qui ne veut évidemment pas dire qu’elles sont à l’abri du danger. D’ailleurs, selon le type d’erreur, il est possible que les mêmes erreurs aient été commises dans d’autres variantes d’une même application.
Les gestionnaires de mots de passe restent des composants sensibles jouant un rôle stratégique dans la sécurité. Comme tous services et logiciels, ils ne sont pas exempts de problèmes, mais la rapidité de correction est primordiale. Ils sont donc à surveiller, comme n’importe quel produit installés sur un appareil.
Commentaires (57)
Hmmm en fait, le souci se situerai au niveau des apps, pas forcément le système ? (retourne lire)
Edit > Oui, titre un peu trompeur qui fait sous-entendre que le souci se situe niveau OS.
En effet, la news à pas grand chose à voir avec Android. Voir rien en faite.
Par contre, elle ne fait qu’enfoncer une porte ouverte : Non, utiliser de tels gestionnaires n’améliore pas la sécurité, au contraire elle la dégrade, car plus un système est complexe plus il est faillible.
Et quand on sait que la plupart font n’importe quoi avec leur communication réseau (cf ce qui est a été trouvé dans les trames rendu visible par le CloudBleed), c’est une complexité particulièrement friable…
Toujours plus pratique de regrouper tous les mots de passes au meme endroit pour tout perdre d’un coup <3
Tester Keepass2Android aurait été pas mal aussi, on a pas tous envie de faire confiance à des logiciels propriétaires pour nos mots de passe
et la solution de Norton ?https://play.google.com/store/apps/details?id=com.symantec.mobile.idsafe&…
Exactement ce que je me disais… vu que je l’utilise j’aurais bien aimé savoir ce qu’il en est :).
Rien de tel que le cerveau en somme.
Je suis entrain de mettre en place un moyen mnémotechnique unique pour tout mes mots de passe (sauf les sites d’argents et mon mail principal).
En fait, je construis mon mot de passe de façon logique. Ainsi, si mon mot de passe se retrouve dans la nature avec mon mails, ils ne pourront pas être utiliser de façons automatiser avec une méthode en masse. Si quelqu’un trouve la logique… tant pis mais le pirate mettre du temps à trouver les sites que j’utilise.
Je plussoie !
Je dois connaitre une vingtaine de mots de passe par coeur* je pense… dont même ma clé wifi (que je n’ai pas changé et qui comporte donc 20 caractères)
* ce n’est pas tout à fait du par coeur, en fait, c’est plus mes doigts qui s’en souviennent face à un clavier. Loin du clavier, j’ai beaucoup de mal à tous les ressortir, même pour ma carte bancaire et ses misérables 4 chiffres, mais bizarrement ma clé wifi, elle je la ressort par coeur n’importe quand, même bourré ^^
J’utilisais une méthode similaire avant de me rendre compte de plusieurs pbs:
pb 1) on peut imaginer qu’il est possible de trouver la règle de construction à partir de qques échantillons (au moins 2 mots de passe de 2 sites différents). Pas facile, mais faisable (d’autant qu’un morceau du mdp était basé sur le nom du site…pas terrible…).
pb 2) j’ai donc introduit une composante purement arbitraire dans chaque mdp. Mais cela revient à retenir un mdp pour chaque site.
pb 3) j’ai diminué la complexité en re-utilisant la même composante dans plusieurs mdp, mais cela revient à dégrader la sécurité en baissant le degré de hasard du mdp (l’entropie). C’est pas terrible non plus.
Bref, ca tourne en rond: si tu veux un truc simple, tu perds en sécurité en affaiblissant ton mdp. Si tu veux un truc ultime, tous tes mdp sont aléatoires et tu dois t’en souvenir. Après, faut régler le curseur entre les deux.
Tiens, j’étais sous KeePassDroid, m’a l’air chouette Keepass2Android.
Je m’en vais tester, merci pour le tuyau !
Perso, si je suis bourré, j’évite de traficoter avec le wifi…
Moi j’ai changé de mot de passe : je suis passé de 123456 à 654321, hop je suis sauvé et pas besoin de le retenir ;-)
Plus sérieusement, on demande de plus en plus de complexifier les mots de passe, or je pars du principe qu’un mot de passe fort est un mot de passe qui n’a aucun sens. Donc si j’arrive à le retenir, c’est qu’il y a un problème :-P et je suis incapable de retenir par cœur des dizaines de pass comme ça… Je pense ne pas être seul dans ce cas ! Donc en substance oui le cerveau c’est bien, mais dans la pratique ça n’est pas gérable…
Ya toujours moyen d’utiliser quelque chose de spécifique à un site tout en ne faisant pas comprendre que c’est lié au site.
Par exemple, tu prends que les 3 premieres lettres du sites et tu remplaces les lettres par l’équivalent dans le tableau periodique des élements.
Pour nxi, ça pourrait être un truc du genre :
prefixe nexei suffixe
nexei pour Neon Xenon et Iode.
Bref, ensuite tu peux complexifier à ta sauce sur un principe similaire et en modifiant le prefixe par exemple dans les cas de .org .com, .fr etc…
Ensuite en jouant aussi sur les majuscules et les chiffres de manière logique pour nous mais pas forcémment pour un observateur, à moins de détenir l’ensemble de nos mots de passes, on monte encore d’un niveau.
Sinon, je me demande également ce qu’il en est pour keepass2 et compagnie sachant que les mots de passes sont censés être stockés dans un fichier crypté qu’on peut placer où on veut.
le problème est toujours le même et est valable pour tous les logiciels quel qu’il soit, que ce soit un dev indépendant ou un dev-pigiste d’un gros groupe.
Si le mec qui développe est un *** sans conscience ni morale, rien ne l’empêche de mettre une backdoor connu de lui seul et bien sur de soigneusement l’enlevé de ses sources pour revenir plus tard incognito.
c’est vieux comme le monde, on fait confiance qu’une seule fois, à tort ou à raison et on fait avec.
J’ai encore eut l’exemple aujourd’hui, une amie à acheter un pc d’occasion sur cdiscount ( un machin à 100€ vendu sur C lemarché vendeur soit disant pro )
Le pc était blindé de script VBS au démarrage de windows, j’ai même pas cherché, je l’ai formaté en low lvl direct avec réinstallation propre, c’était un coup a ce que le mec soit branché en direct chez elle.
Le gestionnaire de mdp protège toujours des attaques extérieures, enfin si on a généré du lourd. Là faut avoir le téléphone, donc c’est encore un autre cas.
Comme dit plus haut, j’aurais bien aimé voir Keepass2Android :)
+1
Faut aussi prendre en compte le fait qu’en général les attaques sont semi automatisées, il ne s’agit pas d’une attaque ciblée contre toi en particulier mais d’un traitement par lot de milliers de login / mots de passe.
Donc je pense que même des règles de transformation assez simple peuvent être efficaces tant que ça demande une intervention humaine et plus d’un mot de passe pour la trouver.
ça se discute :https://en.wikipedia.org/wiki/Diceware
Je gère une centaine de mots de passe, d’adresses mail et de pseudo. ça fait trop pour un cerveau de retenir qui est lié à l’un ou à l’autre. Tout ça est sauvegardé sur un excell sur une petite clef usb d’une part et sur un disk backup d’autre part.
Et, ça me va très bien depuis 1980
Bon sinon c’est dommage que Keepass2Android ne fasse pas partie des logiciels audités… Au moins on peut éviter de passer par le presse-papier, c’est un grand plus !
J’aimerais bien d’ailleurs que la team officiel de Keepass, développe un client Android & iOS. Les Keepass2Android, Keepass Safe (pour Android) ou KeePass Touch (iOS) sont largement utiliser mais rien de garantie leur intégrité. Je prendrais bien Dashlane, mais c’est pas open-source :/
Le jour où la clé usb est perdue/volée, vous faites comment ?
Parce que changez 100 mot de passe c’est relativement long, surtout si on a plus le mot de passe de ses adresses mails.
C’est farfelu quand même…
l’avantage aussi c’est qu’avec Keepass t’es pas dépendant de la plateforme de synchro.
" />
tu mets la db ou tu veux. du coup si pb de sécu détecté sur une plateforme, suffit d’en changer.
Comme précisé, j’ai une backup sur un disque dur interne et un autre sur un disque dur externe. En fait, je sauvegarde régulièrement une dizaine de choses prioritaires sur 3 périphériques distinctes. Vieille habitude de plus de cinquante ans d’informatique
Bitlocker c’est le truc proprio qu’a recommande truecrypt lors de sa fermeture surprise…
De l’open-source audité, genre veracrypt, c’est un peu plus solide
C’est pas seulement code ouvert VS code fermé. C’est surtout code ouvert audité = code relativement fiable si l’audit était sérieux alors que code fermé = ?
Sinon, une rapide recherche google donnehttp://www.itproportal.com/2015/03/11/cia-spies-add-bitlocker-hack-list/. Le site est peut-être pas sérieux, l’important, c’est que le niveau de protection utilisé soit adapté au niveau de menace contre lequel on souhaite se protéger. De ce point de vue, même si bitlocker n’est pas parfait (rien ne l’est), il peut suffire.