+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Community Manager

    Avatar de Malick
    Homme Profil pro
    Auditeur
    Inscrit en
    juillet 2012
    Messages
    4 817
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Sénégal

    Informations professionnelles :
    Activité : Auditeur
    Secteur : Conseil

    Informations forums :
    Inscription : juillet 2012
    Messages : 4 817
    Points : 54 790
    Points
    54 790
    Billets dans le blog
    15

    Par défaut Android : les gestionnaires de mots de passe les plus populaires présentent des vulnérabilités critiques

    Android : les gestionnaires de mots de passe les plus populaires présentent des vulnérabilités critiques
    selon les chercheurs en sécurité de la TeamSIK

    Aujourd'hui, force est de constater qu'il existe plusieurs précédés qui permettent aux utilisateurs de générer des mots de passe avec un niveau de sécurité élevé. Toutefois, l'un des plus grands défis auxquels sont confrontés les utilisateurs est relatif au stockage de ces mots de passe qui sont souvent très complexes et donc difficiles à retenir. Ainsi, face à ce problème, les applications de gestion de mots de passe sont un moyen efficace, car permettant de stocker un grand nombre de mots de passe sécurisés. Les éditeurs de ces gestionnaires de mots de passe soutiennent souvent que les informations stockées au sein de ces applications sont chiffrées et bien en sécurité. En effet, pour qu'un utilisateur puisse accéder aux différents mots de passe stockés, il doit obligatoirement saisir un mot de passe principal qu'il a préalablement défini. Malgré les assurances fournies par les éditeurs, certains spécialistes se posent des questions notamment : est-ce que les utilisateurs peuvent être sûrs à 100 % que leurs données sont stockées en toute sécurité ? Est-il possible d'accéder aux informations d'identification stockées dans ces applications ?

    C'est donc pour trouver des réponses à ces différentes questions que des chercheurs de la TeamSIK, un groupe de chercheurs professionnels spécialisés dans la sécurité et travaillant à l'Institut Fraunhofer pour les technologies de l'information sécurisée en Allemagne, ont décidé de faire une analyse approfondie du niveau de sécurité des gestionnaires de mots de passe les plus populaires se trouvant dans le Play Store de Google. Les chercheurs en sécurité ont en effet précisé que leurs travaux ont porté sur les neuf applications qui suivent : My Passwords, Informaticore Password Manager, LastPass, Keeper, F-Secure KEY, Dashlane, Hide Pictures Keep Safe Vault, Avast Passwords et 1Password.

    Au terme de leurs travaux, les chercheurs en sécurité affirment avoir découvert des résultats extrêmement préoccupants pour les utilisateurs. Selon eux, les applications de gestion de mots de passe ne fournissent pas suffisamment de mécanismes de protection permettant de garantir la sécurité des informations qui y sont stockées. « Les gestionnaires de mots de passe sous Android souffrent de vulnérabilités extrêmement graves qui peuvent exposer les informations d'identification des utilisateurs », a déclaré le groupe des chercheurs. Ils ajoutent qu'au niveau de certaines applications, le mot de passe principal ainsi que les clés de chiffrement sont stockés en clair dans le code du programme. Cette situation pourrait permettre aux cyberpirates d'accéder à l'ensemble des données d'un utilisateur, cela en contournant facilement l'algorithme de chiffrement.

    « Pour d'autres gestionnaires de mots de passe, nous nous sommes rendu compte qu'il est possible d'accéder à l'ensemble des mots de passe et informations d'identification, cela en se servant d'une application tierce malveillante », ont déclaré les chercheurs en sécurité. Ils précisent qu'une fois que l'installation est faite sur l'appareil, l'application malveillante collecte tous les mots de passe et informations d'identification stockées en clair et les envoie à l'attaquant.

    L'équipe de la TeamSIK soutient également que certains gestionnaires de mots de passe ne disposent pas d'une protection contre le reniflement du presse-papier. Pour eux, certaines informations d'identification peuvent avoir été copiées dans la mémoire pour permettre à un utilisateur de les coller ultérieurement, toutefois ces informations ne font pas l'objet de suppression via un nettoyage du presse-papier.

    Les chercheurs soutiennent également que les éditeurs ajoutent souvent de nouvelles fonctionnalités supplémentaires qui peuvent avoir une incidence sur la sécurité. À titre d'exemple, ils ont cité le cas des fonctions d'autoremplissage qui pourraient être détournées par des personnes mal intentionnées pour voler les informations stockées dans un gestionnaire de mots de passe, cela en utilisant des attaques de phishing. Et pour une meilleure prise en charge des fonctions d'autoremplissage dans les pages Web, quelques-unes des applications fournissent leurs propres navigateurs Web. Cependant, les chercheurs de la TeamSIK estiment que ces navigateurs sont une source supplémentaire de vulnérabilités.

    Source : TeamSIK

    Et vous ?

    Que pensez-vous de ces vulnérabilités découvertes par le TeamSIK ?
    Vous avez envie de contribuer au sein du Club Developpez.com ? Contactez-nous maintenant !
    Vous êtes passionné, vous souhaitez partager vos connaissances en informatique, vous souhaitez faire partie de la rédaction.
    Il suffit de vous porter volontaire et de nous faire part de vos envies de contributions :
    Rédaction d'articles/cours/tutoriels, Traduction, Contribution dans la FAQ, Rédaction de news, interviews et témoignages, Organisation de défis, de débats et de sondages, Relecture technique, Modération, Correction orthographique, etc.
    Vous avez d'autres propositions de contributions à nous faire ? Vous souhaitez en savoir davantage ? N'hésitez pas à nous approcher.

  2. #2
    Membre expérimenté
    Profil pro
    Inscrit en
    janvier 2010
    Messages
    803
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations forums :
    Inscription : janvier 2010
    Messages : 803
    Points : 1 630
    Points
    1 630

    Par défaut

    Bon! Pour résumer, selon les chercheurs en question, tous les gestionnaires de mot de passe testés sont des m... totalement inefficaces.

    Question idiote: Pourquoi est-ce que ces "experts" ne profitent pas de leur compétences pour développer un gestionnaire de mot de passe performant et 100% sûr?

    Cela ne devrait pas être bien difficile pour des "spécialistes" qui connaissent toutes les faiblesses à éviter et cela profiterait à toute la communauté!!!


    un groupe de chercheurs professionnels spécialisés dans la sécurité
    Je ne savais pas que l'on pouvait être "chercheur amateur"... Certainement un nouveau concept!

  3. #3
    Membre averti
    Homme Profil pro
    CTO
    Inscrit en
    août 2012
    Messages
    129
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : CTO
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : août 2012
    Messages : 129
    Points : 425
    Points
    425

    Par défaut

    @NKSis:
    1 - Un système sûr à 100% n'existe pas, tu peux très bien découvrir de nouvelles failles après coup.
    2 - L'utilisation d'un gestionnaire de mot de passe est en soi la plus grande des failles, le mieux serait d'arrêter de les utiliser (c'est quand même si compliqué de retenir un mot de passe -_-')
    3 - Un chercheur c'est avant tout quelqu'un qui fait de la recherche, tu peux très bien faire de la recherche le soir, chez toi, sans que ce soit pour autant ton boulot, même si on pense souvent, en effet, à quelqu'un dont c'est le métier. (C'est un peu comme dire à un mec qui code 8h tous les soirs que c'est pas un programmeur juste parce qu'il n'a pas de diplôme d'info ou qu'il ne bosse pas en SSII...)

    Ceci étant dit le réel problème avec les mots de passe reste encore et toujours la persistance de bien trop de services qui force un format de mot de passe absolument ridicule (il faudrait un jour qu'ils comprennent que "sgGF42$tr" est bien moins sécurisé comme mot de passe que "j'aime les poneys roses qui mangent de la raclette", qui est bien plus facile à retenir...)

  4. #4
    Membre du Club
    Homme Profil pro
    Développeur Java / JEE / JavaScript
    Inscrit en
    juillet 2012
    Messages
    27
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Java / JEE / JavaScript
    Secteur : Service public

    Informations forums :
    Inscription : juillet 2012
    Messages : 27
    Points : 43
    Points
    43

    Par défaut

    Ils ajoutent qu'au niveau de certaines applications, le mot de passe principal ainsi que les clés de chiffrement sont stockés en clair dans le code du programme.
    Manquerait plus que le code soit dispo sous Github

  5. #5
    Membre expérimenté
    Profil pro
    Inscrit en
    janvier 2010
    Messages
    803
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations forums :
    Inscription : janvier 2010
    Messages : 803
    Points : 1 630
    Points
    1 630

    Par défaut

    Citation Envoyé par TheLastShot Voir le message
    @NKSis:
    1 - Un système sûr à 100% n'existe pas, tu peux très bien découvrir de nouvelles failles après coup.
    Apparemment certains ont de la peine à détecter l'ironie dans les propos. Je suis le premier à dire que mettre toutes ses données en ligne est une imbécilité parce que rien n'est sûr à 100%

    Citation Envoyé par TheLastShot Voir le message
    2 - L'utilisation d'un gestionnaire de mot de passe est en soi la plus grande des failles, le mieux serait d'arrêter de les utiliser (c'est quand même si compliqué de retenir un mot de passe -_-')
    Et quand tu as une centaine de mots de passe à mémoriser, tu te les colles derrière les oreilles??? Ou mieux, est-ce que tu utilises le même mot de passe pour la centaine d'accès??? Ah non, je sais tu les écris au stylo sur les avant-bras!

    Dans ce cas, le gestionnaire de mot de passe est nécessaire!!!


    Citation Envoyé par TheLastShot Voir le message
    Ceci étant dit le réel problème avec les mots de passe reste encore et toujours la persistance de bien trop de services qui force un format de mot de passe absolument ridicule (il faudrait un jour qu'ils comprennent que "sgGF42$tr" est bien moins sécurisé comme mot de passe que "j'aime les poneys roses qui mangent de la raclette", qui est bien plus facile à retenir...)
    Et donc quand il faut gérer une centaine de mots de passe, nous avons "j'aime les poneys roses qui mangent de la raclette", "le merle bleu chante sur la branche de l'églantier", "Toto fait de la luge sur la lune", "bébert aime bien boire du cidre avec juliette"??? Facile de savoir quel mot de passe utiliser pour quel accès!!!

  6. #6
    Membre expérimenté
    Homme Profil pro
    Consultant Ingenierie mécanique
    Inscrit en
    mars 2006
    Messages
    734
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Consultant Ingenierie mécanique
    Secteur : Transports

    Informations forums :
    Inscription : mars 2006
    Messages : 734
    Points : 1 612
    Points
    1 612

    Par défaut

    suffit que la 1ere lettre de chaque mot soit le nom de domaine

  7. #7
    Membre averti
    Homme Profil pro
    CTO
    Inscrit en
    août 2012
    Messages
    129
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : CTO
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : août 2012
    Messages : 129
    Points : 425
    Points
    425

    Par défaut

    Le principe d'un mot de passe algorithmique tu connais ? Je peux t'assurer que de cette manière je suis capable d'avoir un mot de passe unique pour chacun de mes services (même en prenant en compte leurs règles stupides) sans avoir besoin d'utiliser le moindre gestionnaire de mot de passe... Après chacun sa vision des choses, mais personnellement je préfère maximiser la sécurité plutôt que d'être 100% assisté par des systèmes faillibles.

  8. #8
    Membre à l'essai
    Homme Profil pro
    Lycéen
    Inscrit en
    août 2014
    Messages
    17
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Lycéen

    Informations forums :
    Inscription : août 2014
    Messages : 17
    Points : 19
    Points
    19

    Par défaut

    Citation Envoyé par TheLastShot Voir le message
    Le principe d'un mot de passe algorithmique tu connais ? Je peux t'assurer que de cette manière je suis capable d'avoir un mot de passe unique pour chacun de mes services (même en prenant en compte leurs règles stupides) sans avoir besoin d'utiliser le moindre gestionnaire de mot de passe... Après chacun sa vision des choses, mais personnellement je préfère maximiser la sécurité plutôt que d'être 100% assisté par des systèmes faillibles.
    D'apres les sources:
    !! Update 2017-03-01: All reported vulnerabilities are fixed by the vendors !!
    Apres l'uttilisation de ce genre d'outils prete toujours a discussion c'est sur. Meme si pour moi le plus grand interet de ce genre de choses c'est bien moins la generation et la memorisation de tous ses mot passes, que la mise en place de procedure de reset/changement de mot de pass automatiques.

    Ce genre de choses est quand meme bien utile lorsque plusieurs sites sont compromis (CloudBleed ?) et que vous souhaitez etre sur de ne pas compromettre votre identitee.

  9. #9
    Candidat au Club
    Homme Profil pro
    Étudiant
    Inscrit en
    septembre 2013
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : septembre 2013
    Messages : 1
    Points : 2
    Points
    2

    Par défaut

    L'ordinateur restera toujours plus puissant que l'humain pour ce genre de travail. Il existe un ou des gestionnaire de mot de passe open source utilisant AES-256 et/ou twofish permettant de se faire des mot de passe béton pour les utilisations que l'on souhaite et avec un renouvellement pour plus de sécurité. Mettons que tu as besoin de 20 mot de passes, tu peux les avoirs, de taille et de complexité différentes, et avec des rappelles pour les faire changer quand nécessaire. Si tu changes de mdp tous les 3 mois il te faut 80 mdp par an. C'est quand même complexe a gérer et présente trop de contraintes.

    Le logiciel que j'utilise (keepass 2), vide le cache quand je copie mon pot de passe au bout de 10 secondes, et je peux régler cela. Je peux générer un mot de passe en caractère spéciaux ASCII ou simplement avec des chiffres et des lettres de la longueur que je veux. D'accord "sgGF42$tr" est bien moins sécurisé comme mot de passe que "j'aime les poneys roses qui mangent de la raclette", mais la phrase que tu sort est aussi par comparaison plus faible que ça par exemple: 9ÇÉÛ6a©¹Â9®×!ÿë"Bq´ÛÝ`°î¨6!(áXïª~Ô(̯㶾xq×>ÑǶ(Iy¤áAz«íçvÇ&G`Ò. Le problèmes étant après les sites qui ont des politiques assez limité pour les mot de passe. J'en connais qui limite les mdp à 12 caractères et au chiffres et lettres uniquement, cela devrais être interdit >.< Tu dit que le système peut être faillible, mais en sécurité le point le plus faillible est en général l'humain. C'est par là que l'on remonte toute la chaîne jusqu’à l'accès root. Un logiciel de gestion de mot de passe open source et utilisant des chiffrement fort a toutes les chances s'il est bien fait d'être non pas à 100% fiable mais de l'être plus que n'importe qu'elle humain.

  10. #10
    Expert confirmé Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    novembre 2010
    Messages
    2 101
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : novembre 2010
    Messages : 2 101
    Points : 5 725
    Points
    5 725

    Par défaut

    Citation Envoyé par NSKis Voir le message
    Question idiote: Pourquoi est-ce que ces "experts" ne profitent pas de leur compétences pour développer un gestionnaire de mot de passe performant et 100% sûr?
    • parce que ce serait scier la branche sur laquelle ils sont assis ?
    • parce que les conseilleurs ne sont pas les payeurs ?
    • parce que les spécialistes en sécu ne sont pas des développeurs pour autant ?
    • parce qu'une partie de la sécurité repose de facto sur le langage/la vm et que ré-implémenter la roue entièrement n'est pas envisageable ?


    Cela ne devrait pas être bien difficile pour des "spécialistes" qui connaissent toutes les faiblesses à éviter et cela profiterait à toute la communauté!!!
    haha mais tu troll là, tu sais bien qu'être un pro de la démolition ne fait pas de toi un bâtisseur ;D
    Avant donc que d'écrire, apprenez à penser.
    Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure.
    Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément.
                                                        - Nicolas Boileau, L'Art poétique

Discussions similaires

  1. Réponses: 54
    Dernier message: 18/01/2017, 13h36
  2. Réponses: 3
    Dernier message: 18/12/2013, 11h18
  3. [AC-2003] cacher les caracteres de mot de passe sur table
    Par freeidea dans le forum Access
    Réponses: 2
    Dernier message: 11/09/2011, 00h41
  4. Idientifier les fichiers avec mot de passe Windows
    Par p_12345 dans le forum Macros et VBA Excel
    Réponses: 10
    Dernier message: 11/10/2007, 15h31
  5. Réponses: 3
    Dernier message: 15/02/2007, 16h20

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo