Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Sur Android, des chercheurs pointent des vulnérabilités dans les gestionnaires de mots de passe

Les autres ne sont pas inviolables pour autant

Sur Android, des chercheurs pointent des vulnérabilités dans les gestionnaires de mots de passe

Le 02 mars 2017 à 16h20

Une équipe de chercheurs en sécurité s’est penchée sur neuf solutions de gestion des mots de passe pour Android, parmi lesquelles les célèbres 1Password, Dashlane et LastPass. Des soucis de sécurité ont été relevés et communiqués aux éditeurs. Ils sont normalement tous résolus.

Les gestionnaires de mots de passe (voir nos articles sur certains d’entre eux) sont des applications importantes, qu'elles soient natives ou web. Elles permettent de générer des mots de passe longs et complexes pour les sites et services, tout en les enregistrant pour les ressortir en cas de besoin. Ils peuvent répondre efficacement à deux problématiques courantes : la force des mots de passe et leur réutilisation, trop souvent fréquente.

Neuf gestionnaires, aucun sans faute

S'ils deviennent essentiels dans la vie de certains utilisateurs, leur prêter une confiance aveugle serait pourtant une erreur. Une équipe constituée de chercheurs de TeamSIK et de l’institut Fraunhofer SIT (Secure Information Technology) s’est penchée sur neuf gestionnaires présents sur Android et distribués dans le Play Store : LastPass, Keeper, 1Password, My Passwords, Dashlane, Informaticore Password Manager, F-Secure KEY, Keepsafe et Avast Passwords.

Aucun n’a pu passer à travers les mailles du filet, des problèmes ayant été détectés à chaque fois. Plusieurs étaient vulnérables à des attaques basées sur des traces de données ou par inspection du presse-papier. D’autres intégraient les clés de chiffrement en dur dans le code de l’application ou stockaient même parfois les mots de passe en clair dans une zone non protégée.

Toutes les failles ont été corrigées

Le rapport, publié mardi, liste pour chaque application les problèmes précis qui ont été trouvés. Dans LastPass, la clé maitre était ainsi présente en dur dans le gestionnaire, des données pouvaient fuiter dans la recherche du navigateur intégré et des données privées pouvaient être captées. Dans Dashlane, des données privées pouvaient également être lues depuis le dossier de l’application, une attaque sur les résidus pouvait permettre l’obtention de la clé maître, et le navigateur intégré était poreux sur les mots de passe utilisés dans les sous-domaines.

Les résultats de ces recherches seront présentés durant la conférence Hack In The Box le mois prochain. Entretemps, les chercheurs ont indiqué que toutes les vulnérabilités signalées aux éditeurs ont été corrigées. Il est donc chaudement recommandé aux utilisateurs de mettre à jour les applications si de nouvelles moutures sont disponibles.

Le risque existe également sur les autres plateformes

Notez que ces découvertes ne concernent bien que les applications Android. Rien n’est dit sur les moutures iOS, ou même celles pour Windows et macOS. Ce qui ne veut évidemment pas dire qu’elles sont à l’abri du danger. D’ailleurs, selon le type d’erreur, il est possible que les mêmes erreurs aient été commises dans d’autres variantes d’une même application.

Les gestionnaires de mots de passe restent des composants sensibles jouant un rôle stratégique dans la sécurité. Comme tous services et logiciels, ils ne sont pas exempts de problèmes, mais la rapidité de correction est primordiale. Ils sont donc à surveiller, comme n’importe quel produit installés sur un appareil.

Commentaires (57)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Hmmm en fait, le souci se situerai au niveau des apps, pas forcément le système ? (retourne lire)



Edit > Oui, titre un peu trompeur qui fait sous-entendre que le souci se situe niveau OS.

votre avatar

En effet, la news à pas grand chose à voir avec Android. Voir rien en faite.



Par contre, elle ne fait qu’enfoncer une porte ouverte : Non, utiliser de tels gestionnaires n’améliore pas la sécurité, au contraire elle la dégrade, car plus un système est complexe plus il est faillible.



Et quand on sait que la plupart font n’importe quoi avec leur communication réseau (cf ce qui est a été trouvé dans les trames rendu visible par le CloudBleed), c’est une complexité particulièrement friable…

votre avatar

Toujours plus pratique de regrouper tous les mots de passes au meme endroit pour tout perdre d’un coup <3

votre avatar







Bejarid a écrit :



En effet, la news à pas grand chose à voir avec Android. Voir rien en faite.



Par contre, elle ne fait qu’enfoncer une porte ouverte : Non, utiliser de tels gestionnaires n’améliore pas la sécurité, au contraire elle la dégrade, car plus un système est complexe plus il est faillible.



Et quand on sait que la plupart font n’importe quoi avec leur communication réseau (cf ce qui est a été trouvé dans les trames rendu visible par le CloudBleed), c’est une complexité particulièrement friable…





si les tests on été fait sur des téléphones sous android


votre avatar







Bejarid a écrit :



En effet, la news à pas grand chose à voir avec Android. Voir rien en faite.



Par contre, elle ne fait qu’enfoncer une porte ouverte : Non, utiliser de tels gestionnaires n’améliore pas la sécurité, au contraire elle la dégrade, car plus un système est complexe plus il est faillible.



Et quand on sait que la plupart font n’importe quoi avec leur communication réseau (cf ce qui est a été trouvé dans les trames rendu visible par le CloudBleed), c’est une complexité particulièrement friable…





N’exagerons rien, sous un OS plus classique c’est quand meme plus secure que d’avoir des mdp dans un pauvre fichier texte. Et je suppose que les programmes version desktop ont ete beaucoup plus verifies que les apps.


votre avatar

Tester Keepass2Android aurait été pas mal aussi, on a pas tous envie de faire confiance à des logiciels propriétaires pour nos mots de passe

votre avatar

et la solution de Norton ?play.google.com Google

votre avatar

Exactement ce que je me disais… vu que je l’utilise j’aurais bien aimé savoir ce qu’il en est :).

votre avatar

Rien de tel que le cerveau en somme.



Je suis entrain de mettre en place un moyen mnémotechnique unique pour tout mes mots de passe (sauf les sites d’argents et mon mail principal).

En fait, je construis mon mot de passe de façon logique. Ainsi, si mon mot de passe se retrouve dans la nature avec mon mails, ils ne pourront pas être utiliser de façons automatiser avec une méthode en masse. Si quelqu’un trouve la logique… tant pis mais le pirate mettre du temps à trouver les sites que j’utilise.

votre avatar

Je plussoie !

votre avatar







wanou2 a écrit :



Rien de tel que le cerveau en somme.



Je suis entrain de mettre en place un moyen mnémotechnique unique pour tout mes mots de passe (sauf les sites d’argents et mon mail principal).

En fait, je construis mon mot de passe de façon logique. Ainsi, si mon mot de passe se retrouve dans la nature avec mon mails, ils ne pourront pas être utiliser de façons automatiser avec une méthode en masse. Si quelqu’un trouve la logique… tant pis mais le pirate mettre du temps à trouver les sites que j’utilise.





Tu peux aussi te les faire tatouer dans le dos, comme ça seul les personnes te voyant nu de dos auront tes mots de passe. Il y a un autre endroit encore plus discret mais il faut soit avoir peu de mots de passe soit avoir été gâté par la nature.


votre avatar

Je dois connaitre une vingtaine de mots de passe par coeur* je pense… dont même ma clé wifi (que je n’ai pas changé et qui comporte donc 20 caractères)



* ce n’est pas tout à fait du par coeur, en fait, c’est plus mes doigts qui s’en souviennent face à un clavier. Loin du clavier, j’ai beaucoup de mal à tous les ressortir, même pour ma carte bancaire et ses misérables 4 chiffres, mais bizarrement ma clé wifi, elle je la ressort par coeur n’importe quand, même bourré ^^

votre avatar

J’utilisais une méthode similaire avant de me rendre compte de plusieurs pbs:



 pb 1) on peut imaginer qu’il est possible de trouver la règle de construction à partir de qques échantillons (au moins 2 mots de passe de 2 sites différents). Pas facile, mais faisable (d’autant qu’un morceau du mdp était basé sur le nom du site…pas terrible…).



 pb 2) j’ai donc introduit une composante purement arbitraire dans chaque mdp. Mais cela revient à retenir un mdp pour chaque site.



 pb 3) j’ai diminué la complexité en re-utilisant la même composante dans plusieurs mdp, mais cela revient à dégrader la sécurité en baissant le degré de hasard du mdp (l’entropie). C’est pas terrible non plus. 



Bref, ca tourne en rond: si tu veux un truc simple, tu perds en sécurité en affaiblissant ton mdp. Si tu veux un truc ultime, tous tes mdp sont aléatoires et tu dois t’en souvenir. Après, faut régler le curseur entre les deux.

votre avatar

Tiens, j’étais sous KeePassDroid, m’a l’air chouette Keepass2Android.



Je m’en vais tester, merci pour le tuyau !

votre avatar







jackjack2 a écrit :



Tester Keepass2Android aurait été pas mal aussi, on a pas tous envie de faire confiance à des logiciels propriétaires pour nos mots de passe





+1, et en plus il fait parties des outils qui sont passés par l’ANSSI avec succès de la version 2.x





evilny0 a écrit :



Exactement ce que je me disais… vu que je l’utilise j’aurais bien aimé savoir ce qu’il en est :).





+1 pour l’usage, mais dans l’absolu, même sans, j’aurai bien aimé savoir, vu qu’il est quand même pas mal utilisé.


votre avatar

Bitlocker c’est le truc proprio qu’a recommande truecrypt lors de sa fermeture surprise…

votre avatar







AhLeBatord a écrit :



Bitlocker c’est le truc proprio qu’a recommande truecrypt lors de sa fermeture surprise…





et?


votre avatar







jeje07bis a écrit :



ça va fait presque 20 ans que j’utilise uniquement des mots de passe relativement simples, jamais emmerdé.

et pourtant je suis du genre un peu parano..

alors les mots de passe de 30 caractères tordus ou les gestionnaires de mot de passe plein de trous, perso non merci.





C’est pas qu’une question de non merci, c’est surtout qu’on me casse les pieds pour un mot de passe “suivant des règles”, etc. Du coup, je me prends pas la tête et l’outil (KeePass 2) permettant de générer ces derniers, autant y aller.

 


votre avatar

De l’open-source audité, genre veracrypt, c’est un peu plus solide

votre avatar







Amabaka a écrit :



 +1 




Faut aussi prendre en compte le fait qu'en général les attaques sont semi automatisées, il ne s'agit pas d'une attaque ciblée contre toi en particulier mais d'un traitement par lot de milliers de  login / mots de passe.      


 Donc je pense que même des règles de transformation assez simple peuvent être efficaces tant que ça demande une intervention humaine et plus d'un mot de passe pour la trouver.






C’est aussi ce que je me suis dit, perso j’ai un calcul simple pour trouver mon mot de passe. Enfin j’ai deux méthodes différentes sur les sites pas critiques et les sites critiques.

Je peux être visé par des attaques larges / automatiques mais probablement pas par une attaque ciblée (même si la probabilité n’est jamais nulle).

Donc une formule qui permet de retrouver la plupart de mes mots de passe est un bon compromis , puis tout est noté dans conteneur keepass (et sur mon téléphone via Dropbox).

Je suis convaincu que cela fera hurler certains ici puisque multiples risques (mes mots de passe ne sont pas aléatoires, ya du cloud…) mais c’est clairement après pas mal de recherches le meilleur compromis entre sécurité et pratique.


votre avatar







AhLeBatord a écrit :



De l’open-source audité, genre veracrypt, c’est un peu plus solide





t’as déjà eu écho de disques bitlockers qui ont été crackés?

moi non, jamais vu.


votre avatar







Krystanos a écrit :



  

Mais bien sûr, je vais faire en sorte de faire une analogie avec la voiture.

Donc, adaptée à la voiture, ton discours revient à dire que les roues de secours ne servent à rien, sous prétexte que ça ne gère pas le cas où deux pneus sont crevés… Content ? :)





Ah, merci, ça c’est une fabuleuse analogie ! Surtout que tu compares la dangerosité d’une roue de secours avec celle d’applications de gestion de mot de passe plein de failles, magnifique <img data-src=" /> Désolé, je vois aucun argument contre ton analogie, tu devrais postuler à l’Hadopi.





Krystanos a écrit :



Pour Cloudbleed ça va justement dans le sens d’un gestionnaire de mot de passe (en général, pas forcément un type dashlane, on est bien d’accord). Pourquoi ? Parce que l’autre solution viable, c’est d’utiliser le même (ou quelques mêmes) mots de passe partout, pour pouvoir s’en souvenir. Et dans le cas de Cloudbleed c’est une cata, car un mot de passe récupéré sur un site permet à quelqu’un de mal intentionné d’accéder à ton compte sur d’autres sites.





Je pense n’avoir pas été compris à propos de CloodBleed. Les applications de mot de passes font circuler en clair ton mot de passe maître (et évidemment tous les autres, mais on est plus à ça près) dans les trames SSL. Trames SSL dont ils n’hésitent pas à refourguer la maitrise à autrui (par exemple à CloudFlare, cf le lien vers projet zéro dans les comz dans 2 news à ce sujet).



D’un point de vue sécurité, c’est scandaleux de traiter des mots passes avec autant de désinvolture. Pareil pour leur gestion des chaines de caractères en mémoire, ils les laissent trainer comme si de rien n’était. J’ose même pas imaginer les gros titres si Windows faisaient le même genre d’âneries avec son magasin d’identité !







Krystanos a écrit :



Dans le cas des failles de ces applications, pour en profiter, il faut déjà pouvoir accéder au téléphone de la personne ciblée, et d’avoir la main sur le système, la mémoire, etc. ça ne se fait pas à tous les coins de rue. Quand bien même on parle de 3 ordis, le risque reste toujours extrêmement plus faible. Quant aux supposées failles sur la synchro, ben oui. Les bugs ça existe, ça existera toujours. Encore plus dans le cas de personnes qui font les dev en disant que les tests servent à rien car ça n’empêche pas les bugs. Tu vois on y revient :)





C’est moi ou tu essayes de me dire que récupérer les droits root d’un téléphone Android est difficile ? Si oui, il te manque un <img data-src=" /> à la fin de te phrase. Et comme je le disais, y a une différence entre des failles, et des manquements évidents aux règles primaires de manipulation des mots de passes. C’est un cas d’école, y a framework/bibliothèque dans tous les langages pour gérer ça correctement en plus !



Donc oui, on revient bien au fait que + de complexité = plus de risque de se tapper une erreur. Et quand en plus on tombe sur un domaine jeune où beaucoup de logiciel sont tenu par des incompétents (pas tous bien sur, certains de ces logiciels sont assurément bien fait, mais pour combien de mal ficelés ?), ben v’la les dégâts.


votre avatar







jeje07bis a écrit :



t’as déjà eu écho de disques bitlockers qui ont été crackés?

moi non, jamais vu.





Pourtant j’ai vu plein de commentaire sur NXi qui disaient que tout ce qui n’est pas ouvert est forcément mauvais ! Ça doit forcément être vrai, vu le nombre de personnes disant ça. Pas possible qu’il y ait tant de gens racontant n’importe quoi sur Internet.



Oh wait…


votre avatar

C’est pas seulement code ouvert VS code fermé. C’est surtout code ouvert audité = code relativement fiable si l’audit était sérieux alors que code fermé = ?



Sinon, une rapide recherche google donnehttp://www.itproportal.com/2015/03/11/cia-spies-add-bitlocker-hack-list/. Le site est peut-être pas sérieux, l’important, c’est que le niveau de protection utilisé soit adapté au niveau de menace contre lequel on souhaite se protéger. De ce point de vue, même si bitlocker n’est pas parfait (rien ne l’est), il peut suffire.

votre avatar







AhLeBatord a écrit :



C’est pas seulement code ouvert VS code fermé. C’est surtout code ouvert audité = code relativement fiable si l’audit était sérieux alors que code fermé = ?



Sinon, une rapide recherche google donnehttp://www.itproportal.com/2015/03/11/cia-spies-add-bitlocker-hack-list/. Le site est peut-être pas sérieux, l’important, c’est que le niveau de protection utilisé soit adapté au niveau de menace contre lequel on souhaite se protéger. De ce point de vue, même si bitlocker n’est pas parfait (rien ne l’est), il peut suffire.





Code fermé ne veut pas dire code non audité. Dans le militaire quasi tout est fermé, mais quasi tout est audité (le mien l’avait été par IBM).



Sinon, t’as plus efficace que BitLocker ? Je ne vois pas quelle protection il n’aurait pas (sauf le double fond, mais là on tombe dans le légal, pas l’informatique…). Pour moi il est au max (comme d’autre solution, il n’est évidement pas seul).


votre avatar

Perso, si je suis bourré, j’évite de traficoter avec le wifi…

votre avatar

Moi j’ai changé de mot de passe : je suis passé de 123456 à 654321, hop je suis sauvé et pas besoin de le retenir ;-)

Plus sérieusement, on demande de plus en plus de complexifier les mots de passe, or je pars du principe qu’un mot de passe fort est un mot de passe qui n’a aucun sens. Donc si j’arrive à le retenir, c’est qu’il y a un problème :-P et je suis incapable de retenir par cœur des dizaines de pass comme ça… Je pense ne pas être seul dans ce cas ! Donc en substance oui le cerveau c’est bien, mais dans la pratique ça n’est pas gérable…

votre avatar







PercevalIO a écrit :



&nbsp;Donc en substance oui le cerveau c’est bien, mais dans la pratique ça n’est pas gérable…





Je ne suis pas sur qu’il soit plus safe de sauvegarder ses mots de passes dans le cloud ou bien en “sécurité” derrière UN mot de passe.


votre avatar







PercevalIO a écrit :



Moi j’ai changé de mot de passe : je suis passé de 123456 à 654321, hop je suis sauvé et pas besoin de le retenir ;-)

Plus sérieusement, on demande de plus en plus de complexifier les mots de passe, or je pars du principe qu’un mot de passe fort est un mot de passe qui n’a aucun sens. Donc si j’arrive à le retenir, c’est qu’il y a un problème :-P et je suis incapable de retenir par cœur des dizaines de pass comme ça… Je pense ne pas être seul dans ce cas ! Donc en substance oui le cerveau c’est bien, mais dans la pratique ça n’est pas gérable…





+1

Généré aléatoirement, sur 20 ou 30 caractères, si possible avec [], &lt;&gt;, etc… Malheureusement, t’es souvent forcé de limiter le type de caractère, les sites gérant mal ou l’utf-8 ou le HTML (le mot de passe fait péter la mise en page, pratique <img data-src=" />)



Et j’emmerde les sites qui empêchent le copier/coller de mot de passe lors de la double saisie (j’ai plus d’exemple en tête, mais y en a une recrudescence dans les sites administratifs :/).


votre avatar

Ya toujours moyen d’utiliser quelque chose de spécifique à un site tout en ne faisant pas comprendre que c’est lié au site.

Par exemple, tu prends que les 3 premieres lettres du sites et tu remplaces les lettres par l’équivalent dans le tableau periodique des élements.

Pour nxi, ça pourrait être un truc du genre&nbsp; :&nbsp;

prefixe nexei suffixe

nexei pour Neon Xenon et Iode.

Bref, ensuite tu peux complexifier à ta sauce sur un principe similaire et en modifiant le prefixe par exemple dans les cas de .org .com, .fr etc…

Ensuite en jouant aussi sur les majuscules et les chiffres de manière logique pour nous mais pas forcémment pour un observateur, à moins de détenir l’ensemble de nos mots de passes, on monte encore d’un niveau.

&nbsp;

Sinon, je me demande également ce qu’il en est pour keepass2 et compagnie sachant que les mots de passes sont censés être stockés dans un fichier crypté qu’on peut placer où on veut.

&nbsp;

votre avatar

le problème est toujours le même et est valable pour tous les logiciels quel qu’il soit, que ce soit un dev indépendant ou un dev-pigiste d’un gros groupe.



Si le mec qui développe est un * sans conscience ni morale, rien ne l’empêche de mettre une backdoor connu de lui seul et bien sur de soigneusement l’enlevé de ses sources pour revenir plus tard incognito.



c’est vieux comme le monde, on fait confiance qu’une seule fois, à tort ou à raison et on fait avec.



J’ai encore eut l’exemple aujourd’hui, une amie à acheter un pc d’occasion sur cdiscount ( un machin à 100€ vendu sur C lemarché vendeur soit disant pro )



Le pc était blindé de script VBS au démarrage de windows, j’ai même pas cherché, je l’ai formaté en low lvl direct avec réinstallation propre, c’était un coup a ce que le mec soit branché en direct chez elle.

votre avatar

Le gestionnaire de mdp protège toujours des attaques extérieures, enfin si on a généré du lourd. Là faut avoir le téléphone, donc c’est encore un autre cas.

Comme dit plus haut, j’aurais bien aimé voir Keepass2Android :)

votre avatar







Baldurien a écrit :



+1

Généré aléatoirement, sur 20 ou 30 caractères, si possible avec [], &lt;&gt;, etc… Malheureusement, t’es souvent forcé de limiter le type de caractère, les sites gérant mal ou l’utf-8 ou le HTML (le mot de passe fait péter la mise en page, pratique <img data-src=" />)



Et j’emmerde les sites qui empêchent le copier/coller de mot de passe lors de la double saisie (j’ai plus d’exemple en tête, mais y en a une recrudescence dans les sites administratifs :/).





ça va fait presque 20 ans que j’utilise uniquement des mots de passe relativement simples, jamais emmerdé.

et pourtant je suis du genre un peu parano..

alors les mots de passe de 30 caractères tordus ou les gestionnaires de mot de passe plein de trous, perso non merci.


votre avatar







jackjack2 a écrit :



Tester Keepass2Android aurait été pas mal aussi, on a pas tous envie de faire confiance à des logiciels propriétaires pour nos mots de passe







C’est le premier que j’ai installé quand j’ai chercher un gestionnaire keepass pour mon Android, et je n’en ai jamais changé.

Outre le fait que son code soit publié et qu’il a été audité, il intègre une fonctionnalité très pratique, qui permet d’éviter une des vulnérabilité citée dans l’article : le clavier Keepass, qui s’ajoute aux claviers système. Il évite ainsi l’inspection du presse-papier puisque les champs à renseigner ne le sont pas par copier-coller.


votre avatar

&nbsp;+1



Faut aussi prendre en compte le fait qu’en général les attaques sont semi automatisées, il ne s’agit pas d’une attaque ciblée contre toi en particulier mais d’un traitement par lot de milliers de&nbsp; login / mots de passe.

&nbsp;Donc je pense que même des règles de transformation assez simple peuvent être efficaces tant que ça demande une intervention humaine et plus d’un mot de passe pour la trouver.

votre avatar

ça se discute :en.wikipedia.org Wikipedia

votre avatar







AhLeBatord a écrit :



ça se discute :en.wikipedia.org WikipediaRooooooo oui, je vais ressortir mes dés de jeux de rôle !!😋


votre avatar

Je gère une centaine de mots de passe, d’adresses mail et de pseudo. ça fait trop pour un cerveau de retenir qui est lié à l’un ou à l’autre. Tout ça est sauvegardé sur un excell sur une petite clef usb d’une part et sur un disk backup d’autre part.

Et, ça me va très bien depuis 1980

votre avatar







Bejarid a écrit :



Par contre, elle ne fait qu’enfoncer une porte ouverte : Non, utiliser de tels gestionnaires n’améliore pas la sécurité, au contraire elle la dégrade, car plus un système est complexe plus il est faillible.&nbsp;





Non, ça n’enfonce pas des portes ouvertes, et non ça ne dégrade pas la sécurité…

Il est toujours plus sain d’avoir un logiciel imparfait pour gérer des mots de passe complexe sur les sites, que d’utiliser toujours le même mot de passe partout, car au moins pour le logiciel il faut déjà être sur le système. L’exemple du CloudBleed en est une preuve d’ailleurs…



On dirait les mauvais développeurs qui disent que les tests ça sert à rien, sous prétexte que ça ne détecte pas 100% des problèmes…


votre avatar

Bon sinon c’est dommage que Keepass2Android ne fasse pas partie des logiciels audités… Au moins on peut éviter de passer par le presse-papier, c’est un grand plus !

votre avatar

J’aimerais bien d’ailleurs que la team officiel de Keepass, développe un client Android & iOS. Les&nbsp;Keepass2Android, Keepass Safe (pour Android) ou KeePass Touch (iOS) sont largement utiliser mais rien de garantie leur intégrité.&nbsp;Je prendrais bien Dashlane, mais c’est pas open-source :/

votre avatar







sirchamallow a écrit :



J’aimerais bien d’ailleurs que la team officiel de Keepass, développe un client Android & iOS. Les&nbsp;Keepass2Android, Keepass Safe (pour Android) ou KeePass Touch (iOS) sont largement utiliser mais rien de garantie leur intégrité.&nbsp;Je prendrais bien Dashlane, mais c’est pas open-source :/





Keepass2Android est opensource… Chacun peut vérifier, donc si ça c’est pas un moyen de garantir l’intégrité, je sais pas. Après on peut dire qu’on ne sait pas comment c’est compilé et si c’est ce même code qui est bien compilé, mais au pire chacun peut compiler sa propre version.

&nbsp;

Le problème que j’ai avec Keepass, c’est leur volonté extrême de refuser toute évolution concernant une amélioration de l’utilisabilité du logiciel.



Exemple : refuser d’activer un quick unlock dans le client Windows, sous prétexte que ça réduit la sécurité. C’est une posture acceptable, mais débattable. Il est compliqué de débattre avec eux. Et dans les faits, les gens gardent leur Keepass ouvert en permanence. à vouloir en faire trop des fois on en fait moins.



&nbsp;S’ils faisaient une appli Android “officielle”, je ne suis pas certain qu’elle soit vraiment utilisable… Mais pas d’extrapolation, je voudrais bien en avoir une aussi, ne serait-ce que par principe. J’ai peur qu’ils s’enferment dans leur outil Windows/Windows…


votre avatar

Le jour où la clé usb est perdue/volée, vous faites comment ?

Parce que changez 100 mot de passe c’est relativement long, surtout si on a plus le mot de passe de ses adresses mails.

votre avatar







Se7en474 a écrit :



Le jour où la clé usb est perdue/volée, vous faites comment ?

Parce que changez 100 mot de passe c’est relativement long, surtout si on a plus le mot de passe de ses adresses mails.





Moi ce qui m’impressionne, c’est qu’il a une clé USB depuis 1980&nbsp;<img data-src=" />


votre avatar







Se7en474 a écrit :



Le jour où la clé usb est perdue/volée, vous faites comment ?





clé USB cryptée avec bitlocker, et ça le fait.

pour les risques de vol / panne : avoir une 2ème clé USB stockée bien au chaud.


votre avatar







jackjack2 a écrit :



Tester Keepass2Android aurait été pas mal aussi, on a pas tous envie de faire confiance à des logiciels propriétaires pour nos mots de passe





+1 !


votre avatar

C’est farfelu quand même…

votre avatar







jeje07bis a écrit :



clé USB cryptée avec bitlocker, et ça le fait.

pour les risques de vol / panne : avoir une 2ème clé USB stockée bien au chaud.





C’est pas trop chiant de devoir synchroniser les deux clés en permanence, et pour y accéder depuis son smartphone?


votre avatar







KaKi87 a écrit :



C’est farfelu quand même…





pourquoi?



ça fait un seul mot de passe à retenir (celui de bitlocker pour la clé USB) au lieu de 100. (qui eux sont stockés sur la clé)

&nbsp;ça tient parfaitement la route.


votre avatar







Krystanos a écrit :



C’est pas trop chiant de devoir synchroniser les deux clés en permanence, et pour y accéder depuis son smartphone?







  • quel rapport avec un smartphone? Tout le monde n’utilise pas un smartphone pour accéder à 50.000 sites avec pseudo et mot de passe.

  • pour la synchro entre les 2 clés, un simple copier coller de temps en temps. pour un fichier texte, c’est rapide


votre avatar







jeje07bis a écrit :





  • quel rapport avec un smartphone? Tout le monde n’utilise pas un smartphone pour accéder à 50.000 sites avec pseudo et mot de passe.



    • pour la synchro entre les 2 clés, un simple copier coller de temps en temps. pour un fichier texte, c’est rapide





      1/ C’est quand même le sujet de l’article, donc demander quel est le rapport c’est fort de café :)

      2/ Oh putain, un fichier texte en plus ? Ouais non, décidément pas pour moi… Même si un fichier Keepass à la place ajoute du confort…



      Un bon Keepass2Android sur un smartphone crypté, avec synchro sur un service cloud en mode double authentification, c’est efficace, compatible PC et smartphone, et ça évite de passer par le presse-papier…



votre avatar







Krystanos a écrit :



1/ C’est quand même le sujet de l’article, donc demander quel est le rapport c’est fort de café :) 



2/ Oh putain, un fichier texte en plus ? Ouais non, décidément pas pour moi... Même si un fichier Keepass à la place ajoute du confort...




Un bon Keepass2Android sur un smartphone crypté, avec synchro sur un service cloud en mode double authentification, c’est efficace, compatible PC et smartphone, et ça évite de passer par le presse-papier…





1/ ah oui <img data-src=" />



&nbsp;mais élargissons le débat au pc, le problème est le même. d’ailleurs quand on parle de clé USB, y a qu’un troll pour demander comment y accéder avec son smartphone. c’était très drôle (ou pas)

2/ fichier texte protégé avec bitlocker. Ou est le problème?

Tu préfères un logiciel à trous?

3 / rdv dans une prochaine news pour une faille de keepass2…


votre avatar







Krystanos a écrit :



Le problème que j’ai avec Keepass, c’est leur volonté extrême de refuser toute évolution concernant une amélioration de l’utilisabilité du logiciel.



Exemple : refuser d’activer un quick unlock dans le client Windows, sous prétexte que ça réduit la sécurité. C’est une posture acceptable, mais débattable. Il est compliqué de débattre avec eux. Et dans les faits, les gens gardent leur Keepass ouvert en permanence. à vouloir en faire trop des fois on en fait moins.





pas bien de pas chercher.<img data-src=" />


votre avatar







Krystanos a écrit :



car au moins pour le logiciel il faut déjà être sur le système. L’exemple du CloudBleed en est une preuve d’ailleurs…





La majorité ont une synchro entre les appareils (perso j’ai besoin de mes comptes sur mon téléphone et mes 2 PCs). Le nombre de failles possible dans ce genre de système est très élevé, et celle de mauvaise pratique encore plus (je parlais dans mon com de la fuite CloudBleed, ce n’est pas pour rien ! Ça a fait fuiter des mots de passe maître de ces système car ces entreprises ont fait n’importe quoi !).



Et il dit qu’il comprend pas le rapport avec tes tests de dev. T’aurais pas une comparaison automobile pour qu’on y voit plus clair ? <img data-src=" />


votre avatar







hellmut a écrit :



pas bien de pas chercher.<img data-src=" />





Si si, j’ai cherché. Mais cette extension date de juin 2016, donc bien après mes recherches. Et je dois dire que j’ai pas revérifié ensuite, j’ai juste ruminé <img data-src=" />

&nbsp;



Bejarid a écrit :



La majorité ont une synchro entre les appareils (perso j’ai besoin de mes comptes sur mon téléphone et mes 2 PCs). Le nombre de failles possible dans ce genre de système est très élevé, et celle de mauvaise pratique encore plus (je parlais dans mon com de la fuite CloudBleed, ce n’est pas pour rien ! Ça a fait fuiter des mots de passe maître de ces système car ces entreprises ont fait n’importe quoi !).



Et il dit qu’il comprend pas le rapport avec tes tests de dev. T’aurais pas une comparaison automobile pour qu’on y voit plus clair ? <img data-src=" />





Mais bien sûr, je vais faire en sorte de faire une analogie avec la voiture.

Donc, adaptée à la voiture, ton discours revient à dire que les roues de secours ne servent à rien, sous prétexte que ça ne gère pas le cas où deux pneus sont crevés… Content ? :)



Pour Cloudbleed ça va justement dans le sens d’un gestionnaire de mot de passe (en général, pas forcément un type dashlane, on est bien d’accord). Pourquoi ? Parce que l’autre solution viable, c’est d’utiliser le même (ou quelques mêmes) mots de passe partout, pour pouvoir s’en souvenir. Et dans le cas de Cloudbleed c’est une cata, car un mot de passe récupéré sur un site permet à quelqu’un de mal intentionné d’accéder à ton compte sur d’autres sites.

&nbsp;

Dans le cas des failles de ces applications, pour en profiter, il faut déjà pouvoir accéder au téléphone de la personne ciblée, et d’avoir la main sur le système, la mémoire, etc. ça ne se fait pas à tous les coins de rue. Quand bien même on parle de 3 ordis, le risque reste toujours extrêmement plus faible. Quant aux supposées failles sur la synchro, ben oui. Les bugs ça existe, ça existera toujours. Encore plus dans le cas de personnes qui font les dev en disant que les tests servent à rien car ça n’empêche pas les bugs. Tu vois on y revient :)



Donc oui, je persiste à dire que ton discours est faux. Un gestionnaire de mot de passe reste une solution plus fiable que d’utiliser les mêmes mots de passe, même très forts, un peu partout. Tu peux mettre d’autres smileys troll, mais ça marcherait mieux avec des arguments je t’assure :)


votre avatar

l’avantage aussi c’est qu’avec Keepass t’es pas dépendant de la plateforme de synchro.

tu mets la db ou tu veux. du coup si pb de sécu détecté sur une plateforme, suffit d’en changer. <img data-src=" />

votre avatar

Comme précisé, j’ai une backup sur un disque dur interne et un autre sur un disque dur externe. En fait, je sauvegarde régulièrement une dizaine de choses prioritaires sur 3 périphériques distinctes. Vieille habitude de plus de cinquante ans d’informatique

Sur Android, des chercheurs pointent des vulnérabilités dans les gestionnaires de mots de passe

  • Neuf gestionnaires, aucun sans faute

  • Toutes les failles ont été corrigées

  • Le risque existe également sur les autres plateformes

Fermer