Le gestionnaire de mots de passe Keeper colmate une importante faille
Le 19 décembre 2017 à 09h55
2 min
Logiciel
Keeper est un gestionnaire de mots de passe installé par défaut par Windows 10 depuis environ six mois, sans annonce particulière de Microsoft.
Une brèche, découverte par Tavis Ormandy de chez Google, permet en théorie à un site malveillant d'intercepter les données présentées par l'extension de Keeper dans le navigateur. Conséquence, le site peut récupérer les identifiants de l'utilisateur. Un risque conséquent selon la sensibilité du site que les pirates tentent de copier.
Keeper, de son côté, indique avoir bien été avertie par Ormandy le 14 décembre. Le souci a été résolu en 24 heures, une mise à jour étant automatiquement déployée à tous les utilisateurs. Notez qu'une partie de la solution consiste pour l'instant à supprimer la fonction « Ajouter à l'existant », qui fera son retour plus tard.
Le fait qu'un gestionnaire de mots de passe ait une faille de sécurité n'a rien d'incroyable en soi. Par contre, Keeper est automatiquement installé par Windows 10 depuis environ six mois, un constat déjà fait par des utilisateurs à l'époque et plus récemment par Tavis Ormandy lui-même. Ce qui relance inévitablement la problématique de ces contrats passés par Microsoft avec les éditeurs, sans que l'utilisateur ait son mot à dire.
Bien sûr, si ce dernier n'avait pas de compte sur Keeper il n'était pas en danger, mais le rôle d'un système d'exploitation devrait se limiter à recevoir les seules applications que l'on décide d'installer, à plus fortes raisons un système payant.
Le 19 décembre 2017 à 09h55
Commentaires (6)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 19/12/2017 à 10h41
#1
le rôle d’un système d’exploitation devrait se limiter à recevoir les seules applications que l’on décide d’installer
Tout dépend de ce que le système cherche à exploiter. " />
Le 19/12/2017 à 15h49
#2
Jamais vu cette extension quelle que soit la machine sous Windows. Du coup, j’ai du mal à comprendre quand on dit que c’est imposé. Ça ne serait pas plutôt les vendeurs de PC qui le mettrait comme il le faisait (font toujours ?) avec tout plein de logiciels inutiles ?
Le 19/12/2017 à 17h03
#3
D’après Reddit ça vient de là :https://insidewindows.net/2016/08/24/how-to-stop-windows-10-1607-from-installing…
J’en avait jamais entendu parler, ce système n’est probablement pas actif en France (surement qu’aux US comme plein de service MS).
Le 19/12/2017 à 17h56
#4
Non c’est Microsoft qui l’installe à la première mise à jours des composants du Store, j’en avait notamment parlé sur notre analyse de la durée d’installation de W10
Le 20/12/2017 à 06h10
#5
Jamais vu! Il faudrait également que les extensions de navigateur demande l’autorisation pour voir passer toutes les pages. Certaines ne sont utilile que lorsque l’utilisateur clic dessus… #securite
Le 20/12/2017 à 09h23
#6
bah il ne l’a jamais fait chez moi, pas de chance " />