Discussion :

[Bruno]

Gestionnaire de mots de passe : KeePass conteste une vulnérabilité permettant le vol de mots de passe
et identifiée par la CVE-2023-24055

Le gestionnaire de mots de passe KeePass jusqu'à sa version 2.53 (dans une installation par défaut) permet à un attaquant, qui a un accès en écriture au fichier de configuration XML, d'obtenir les mots de passe en clair en ajoutant un déclencheur d'exportation. La vulnérabilité qui est identifiée par la CVE-2023-24055 est contestée par l'équipe de développement de KeePass.

Common Vulnerabilities and Exposures ou CVE est un dictionnaire des informations publiques relatives aux vulnérabilités de sécurité. Le dictionnaire est maintenu par l'organisme MITRE, soutenu par le département de la Sécurité intérieure des États-Unis.

La compromission des informations personnelles à la suite d'une violation de données peut avoir de nombreuses conséquences négatives, notamment l'usurpation d'identité, divers types de fraude, la détérioration de sa crédibilité.

L'équipe de développement de KeePass conteste ce qui est décrit comme une vulnérabilité récemment découverte, qui permet aux attaquants d'exporter furtivement toute la base de données en texte clair. KeePass est un gestionnaire de mots de passe open source très populaire qui permet de gérer les mots de passe en utilisant une base de données stockée localement, plutôt qu'une base hébergée dans le cloud, comme LastPass ou Bitwarden.

Pour sécuriser ces bases de données locales, les utilisateurs peuvent les chiffrer à l'aide d'un mot de passe principal, de sorte qu'un logiciel malveillant ou un cybercriminel ne puisse pas simplement voler la base de données et accéder automatiquement aux mots de passe qui y sont stockés.

La vulnérabilité est répertoriée sous le nom de CVE-2023-24055, et elle permet aux acteurs de la menace disposant d'un accès en écriture au système d'une cible de modifier le fichier de configuration XML de KeePass et d'injecter un déclencheur malveillant qui exporterait la base de données, y compris tous les noms d'utilisateur et mots de passe en clair. La position du vendeur est que la base de données de mots de passe n'est pas censée être sécurisée contre un attaquant qui a ce niveau d'accès au PC local.

La prochaine fois que la cible lancera KeePass et entrera le mot de passe principal pour ouvrir et déchiffrer la base de données, la règle d'exportation sera déclenchée et le contenu de la base de données sera enregistré dans un fichier que les attaquants pourront ensuite exfiltrer vers un système sous leur contrôle. Toutefois, ce processus d'exportation se lance en arrière-plan sans que l'utilisateur en soit informé ou que KeePass demande la saisie du mot de passe principal à titre de confirmation avant l'exportation, ce qui permet à l'acteur de la menace d'accéder tranquillement à tous les mots de passe stockés.

Alors que les équipes CERT des Pays-Bas et de la Belgique ont également émis des avis de sécurité concernant CVE-2023-24055, l'équipe de développement de KeePass fait valoir que cela ne devrait pas être classé comme une vulnérabilité étant donné que les attaquants ayant un accès en écriture à l'appareil d'une cible peuvent également obtenir les informations contenues dans la base de données KeePass par d'autres moyens.

L’équipe CERT de la Belgique suggère de mettre en œuvre une mesure d'atténuation via la fonction de configuration renforcée, « puisqu'aucun correctif ne sera disponible. » Cette fonctionnalité est principalement destinée aux administrateurs réseau qui souhaitent imposer certains paramètres aux utilisateurs pour une installation KeePass, mais peut également être utilisée par les utilisateurs finaux pour renforcer leur configuration KeePass. Toutefois, ce renforcement n'a de sens que si ce fichier ne peut pas être modifié par l'utilisateur final.

Les paramètres du fichier de configuration renforcée KeePass.config.enforced.xml sont prioritaires sur les paramètres des fichiers de configuration globaux et locaux. Diverses options permettant de renforcer votre configuration KeePass sont documentées dans le référentiel GitHub Keepass-Enhanced-Security-Configuration indiqué dans la section de référence. Il est par exemple possible de désactiver complètement la fonction de déclenchement (XPath Configuration/Application/TriggerSystem).

Les organisations peuvent également envisager de passer à un autre gestionnaire de mots de passe prenant en charge les espaces de stockage de mots de passe KeePass.

La question de la nécessité d’un gestionnaire de mot de passe divise

Selon une enquête, 65 % des utilisateurs ne feraient pas confiance aux gestionnaires de mots de passe. Le manque de confiance est la raison la plus courante pour laquelle les gens n'utilisent pas de gestionnaires de mots de passe. 34 % des personnes interrogées ont déclaré craindre que leur gestionnaire de mots de passe ne soit piraté, tandis que 30,5 % ont déclaré ne pas faire confiance aux sociétés de gestion de mots de passe pour leurs informations.

Des experts recommandent l'abandon de Lastpass au profit des autres gestionnaires de mot de passe comme Bitwarden ou 1Password. Pour Jeremi Gosney, chercheur en sécurité, il faut s'éloigner du gestionnaire « en raison de sa longue histoire d'incompétence »

Décembre 2021, les utilisateurs de LastPass ont averti que leurs mots de passe principaux étaient compromis. Un utilisateur de LastPass a créé un message pour souligner le problème. Il a affirmé que LastPass l'avait averti d'une tentative de connexion depuis le Brésil. D'autres utilisateurs ont rapidement répondu au message, notant qu'ils avaient vécu quelque chose de similaire.

Décembre 2022, dans une mise à jour de billet de blog publiée en septembre de cette année, LastPass révèle que la dernière violation de données sur la plateforme de gestion de mot de passer a exposé certaines informations sur les clients. Précédemment en août, le gestionnaire de mot de passe expliquait s’être fait dérober du code source et des informations techniques via un compte développeur compromis.

L'éditeur du gestionnaire de mots de passe – qui compte 25 millions d’utilisateurs et 80 000 entreprises clientes avait annoncé que des pirates se sont introduits dans le compte d'un de ses développeurs et l'ont utilisé pour accéder à des données exclusives. Aujourd'hui, LastPass affirme que la dernière violation de données de LastPass a exposé certaines informations sur les clients.

Les personnes âgées de 55 ans et plus seraient les plus craintifs au sujet de l’utilisation des gestionnaires de mot de passe. 20,1 % des personnes interrogées ont déclaré ne pas utiliser de gestionnaire de mots de passe parce qu'elles ne savaient pas ce qu'était un gestionnaire de mots de passe, contre 12 % des 35-54 ans et 14,1 % des 18-34 ans.

Environ 10 % des personnes ont déclaré que, plutôt que d'utiliser un gestionnaire de mots de passe, elles ont recours à l'authentification multifactorielle (AMF) pour protéger leurs comptes. L'authentification multifactorielle nécessite des étapes ou des informations d'identification supplémentaires, telles que la reconnaissance faciale, l'empreinte digitale ou des questions de sécurité, pour accéder à un compte. Bien que l'authentification multifactorielle offre une meilleure sécurité qu'un simple mot de passe, elle n'est pas encore une méthode de sécurité largement utilisée.

Sources : NCSC, Mitre

Et vous ?

Quelle appréciation faites-vous des gestionnaires de mots de passe ? Pour ou contre ?

S'il vous était demandé de choir entre l'authentification multifactorielle et un gestionnaire de mots de passe, lequel choisiriez-vous ?

Voir aussi :

Faut il abandonner Lastpass pour d'autres gestionnaires de mot de passe comme Bitwarden ou 1Password ? Oui Selon des experts qui évoquent « sa longue histoire d'incompétence et de négligence »

Les utilisateurs de LastPass ont averti que leurs mots de passe principaux étaient compromis, mais le gestionnaire de mots de passe affirme qu'il n'y a aucune preuve d'une violation de données

[tlemeu]

Bonjour,

J'en pense que Keepass devrait sécuriser leur fichier de configuration avec un HMAC calculé avec une clé générée à partir du mot de passe principal

[Invité]

Pourquoi ne pas enlever cette fonctionnalité ?

Suffit simplement de copier le fichier chiffré dans un autre keepass, après à la personne d'avoir son mot de passe principal ...

[shenron666]

Bonjour,

J'en pense que Keepass devrait sécuriser leur fichier de configuration avec un HMAC calculé avec une clé générée à partir du mot de passe principal

bonne idée de base, mais le fichier de configuration est global Keepass, tandis que le mot de passe principal est spécifique à chaque base

[gomodo]

Le problème avec keepass est plus profond.
J'utilise Keepass depuis plusieurs années autant professionnellement qu'à titre privé..
.. mais aujourd'hui, ne pas pouvoir accéder à la même base keepass (cad pas à une copie) à la fois depuis son PC et son smartphone.. ..c' est devenu rédhibitoire, même pour les habitués du gestionnaire de mot de passe .

Perso je suis en train de chercher une autre solution..
Et j'ai découvert les joies des import de données depuis un export csv de Keepass..
.. bin c'est pas pour les gens pressés : bricolage dans un tableur, les accents et UTF8, pas de reprise des pièces jointes, etc..

[shenron666]

pouvoir accéder à la même base keepass (cad pas à une copie)

j'utilise simplement KeeAnywhere et je pointe ma base stockée dans un drive depuis 3 appareils dont mon smartphone