Une nouvelle brèche, estampillée CVE-2023-32784, concerne toutes les versions 2.X du gestionnaire de mots de passe pour Windows, Linux et macOS.
Exploitée, cette vulnérabilité peut permettre la récupération du mot de passe maître en clair, selon certaines circonstances. Le précieux sésame peut être récupéré depuis la mémoire vive lorsqu’il est saisi par l’utilisateur. Plus précisément, la faille réside dans le champ de saisie et la manière dont les entrées sont gérées, laissant des traces.
Seulement voilà, pour réussir cette opération, il faut que l’ordinateur de la victime ait été compromis. Ce qui rappelle une situation équivalente début février dernier. Dominik Reichl, l’auteur de KeePass, avait alors indiqué que son logiciel n’était pas pensé pour résister à une compromission locale, le piratage d’une machine offrant de nombreux moyens de parvenir à la récupération du mot de passe maître.
L’attitude est cette fois différente, comme on peut le voir dans l’échange entre le découvreur de la faille (vdohney) et Reichl. On apprend notamment que le signalement a eu lieu en début de mois, et que la faille sera corrigée dans la mouture 2.54 de KeePass, attendue pour début juin.
Commentaires (34)
#1
Le fait qu’une trace reste en mémoire vive peut être problématique, mais en réalité, à moins d’avoir sa machine compromise, ce n’est effectivement pas un réel problème en soi.
Sauf que l’article ne précise pas un point important : la trace du mot de passe peut aussi se retrouver dans le fichier d’échange (pagefile.sys) ou d’hibernation (hiberfil.sys) ! Et là, une attaque hors ligne peut être exploitée sur ces fichiers, surtout si le disque n’est pas chiffré. Risque particulièrement aggravé si le disque est jeté sans être formaté intégralement ou détruit. Prudence donc, en attendant le correctif.
#1.1
+1
admettons que nous aillons affaire a un voleur très curieux, si je ne me trompe pas, il doit :
Ca reste une faille assez grave.
#2
Toujours pas de faille connue dans BlocNote Password, j’suis safe
#2.1
L’absence de faille publiée n’a jamais été un signe de non compromission. Bien au contraire. Les failles publiques permettent au moins de s’assurer qu’une base minimum d’utilisateurs pratiquent l’application et remontent les problèmes ou que la société pratique l’audit de sécurité sur son application.
#2.2
Je crois que tu as loupé la blague
#2.3
La honte…
#2.5
Pardon
Au boulot, je ne sais pas ce qui m’agace le plus entre celui qui ne connait pas ses mots de passe et celui qui les stock dans Excel ou le Bloc Note.
J’ai tendance à penser qu’en 2023, un service IT qui se veux sensibilisé à la sécurité devrait proposer un gestionnaire de mot de passe par défaut à tout le monde avec la partite formation qui va bien pour s’en servir correctement.
#2.6
Au boulot ce qui m’agace le plus c’est de fournir un gestionnaire de mot de passe pour tout le monde + la formation qui va bien et de voir 75% des personnes (minimum) qui ne l’utilise pas parceque cela ne sert à rien.
#2.4
Ni dans Post It password, on est sauvé au boulot !!
#3
Un HSM et pis c’est marre !
#4
oui, mais si ce n’est pas un ordinateur portable ? HA !
#5
Bah on parle quand même du cas où Keepass est utilisé avec uniquement un mot de passe et non une combinaison Mot de passe + “fichier” clé.
Bon, je dois être dans les exceptions à utiliser se fonctionnement et a mettre à jour la clé à jour ponctuellement
Parce que dans ce cas là, le mot de passe seul ne sert à rien puisqu’il faut en plus la clé (clé USB ou fichier) qui n’est pas au même endroit en toute logique.
#5.1
J’ai aussi mot de passe +fichier de clef mais je crois que j’ai jamais mis à jour le fichier
Après je suis sur de nunux chiffré comme mes parents, ça limite les vecteurs normalement.
#6
C’est assez inquiétant pour un gestionnaire de MdP …
En revanche, Ce qui est rassurant, c’est que le développeur est réactif … En regard de ce qui se passe chez les autres éditeurs, suivez mon regard …
#7
Comme tout le monde, j’attend de KeePass2 qu’il protège mes MDP même si mon ordinateur est compromis.
Et comme tout le monde j’ai complètement tort et je n’ai pas compris que la sécurité n’était pas assuré par un seul maillon de la chaine.
#7.1
Qui a dit ça ?
#8
Je résume:
logique.
#8.1
Surtout que si le PC est compromis par un keylogger par ex, Keepass n’y pourra pas grand chose.
C’est une bonne chose que la faille soit corrigée néanmoins, mais je pense qu’il n’est pas trop nécessaire de s’affoler en attendant le patch.
#8.3
J’allais écrire la même chose. inutile de s’affoler. Si la machine est compromise il y a bien plus de chance que ce soit par un keylogger (qui volera aussi votre mot de passe Keypass et toutes les autres saisies) plutôt qu’un logiciel spécifiquement développé pour chercher un mot de passe Keypass dans un dump mémoire qui si je ne me trompe pas nécessite les privilège d’administrateur pour être lu.
#8.2
Ou directement depuis la mémoire vive, plus simple pour un éventuel malware.
L’auteur ayant pu apporter un correctif, c’est bien une erreur de programmation qui peut ensuite mener à la chaîne d’exploitation que tu décris. Cela ne remet aucunement en question l’excellence du produit ni le sérieux du développeur, bien au contraire
#8.4
Les bonnes pratiques actuelles pour ce genre de données, c’est de les écraser dès qu’elles ont été utilisées afin justement qu’on ne puisse pas les lire en mémoire.
Un peu comme dans mission impossible (la série) où la bande était brûlée à la fin de l’écoute du message.
#8.5
On l’a fait depuis peu ici en interne avec KeePass justement, qu’on utilisait déjà pour nos mots de passe sensibles.
Dans KeePass, les valeurs sensibles comme les mots de passe sont protégées en mémoire grâce à CryptoAPI de Windows. De mémoire, les valeur sont écrites dans des zones protégées de la mémoire dont aucun autre processus n’a accès et qui ne sont pas répliquées dans le fichier d’échange, par exemple. Dans le cas de cette faille, il y a eu un oubli qui fait que certaines informations exfiltrent quand même.
#9
Je quote pour plus tard, tu ne m’en voudras pas
CE qui est corrigé c’est que la zone de saisie laisse l’information en claire et ne chiffre pas/n’isole pas les données au fur et a mesure de la saisie (isolation/chiffrement).
C’est ça pour moi qui nécessite la correction de quelque chose, le Keyloger c’est hors périmètre de l’appli, et c’est la réponse qui avait été faite par le passé pour le cas précédemment remonté et en toute logique pas fixé.
#9.1
J’entends bien, mon propos c’était de dire qu’une attaque de vol de mot de passe sur une machine a plus de chance de se faire par ce biais.
#10
Dans ma boîte, notre DSI ne nous a jamais parlé d’un quelconque gestionnaire de mot de passe alors que j’ai pu voir qu’ils ont KeePass pour la gestion des leurs
Y a encore du boulot de sensibilisation à faire !
Moi j’ai découvert KeePass il y a quelques années grâce à NextInpact
#11
Bon perso, j’ai pas lu plut haut …dsl les amis, mais pour moi notre gestionnaire de mdp, ou du moins sa bdd, tu la protège avec : un mdp, et un fichier clef ou une clé matérielle, les quidams qui geignent parce qu’on a réussi à leur prendre la prunelle de leur yeux, sérieux, ça m’amuse voir
ça me réjouit, parce que je me dit qu’ils sont très cons … Voilà, DSL si je blesse qui que ce soit …
#11.1
Consignes de la boite dans certains cas parce que les employés ne sont pas des powers users et que Keepass c’est déjà un peu mieux que le cahier avec tous les mots de passes sur la page de garde
Après, je dis pas que c’est bien, mais faut voir d’où certains partent, le post it sous l’écran.
#12
… Suite … La fuite évoquée par la CVE-2023-32784 évoque une possibilité de retrouver le mdp maître, mais sans parler d’un fichier clef et/ou d’une clef matérielle. Hors, utilisant Keepass, puis KeepassXC depuis Hérodote (à peu près) j’utilise cette embryon de “double auth” … Bon et là, sérieux, tu fais quoi ? ….
#13
C’est le cas dans ma cogip d’ingénieurs. Bah j’ai beau prêcher la bonne parole, presque personne n’utilise Keepass.
Même quand ils sont face au cas classique où ils ne retrouvent plus leur mdp et que je leur rappel que le gestionnaire Keepass est installé, j’ai le droit à un “ah oui c’est vrai”…
#13.1
Je compte plus les “passwords.txt” qui traînent partout… Un lance flammes, je vois pas d’autre solution.
Exercice amusant aussi pour récup des credentials d’entreprise : regardez les post-its d’écran quand vous êtes dans un magasin ou autre.
#14
#15
Cela ne sert à rien de ton point de vue dans ce cas précis (à ton boulot), ou bien ce sont les utilisateurs qui disent ou pensent cela ?
#16
#17
Ce sont les utilisateurs qui pensent cela.