Discussion :

[Malick]

Android : les gestionnaires de mots de passe les plus populaires présentent des vulnérabilités critiques
selon les chercheurs en sécurité de la TeamSIK

Aujourd'hui, force est de constater qu'il existe plusieurs précédés qui permettent aux utilisateurs de générer des mots de passe avec un niveau de sécurité élevé. Toutefois, l'un des plus grands défis auxquels sont confrontés les utilisateurs est relatif au stockage de ces mots de passe qui sont souvent très complexes et donc difficiles à retenir. Ainsi, face à ce problème, les applications de gestion de mots de passe sont un moyen efficace, car permettant de stocker un grand nombre de mots de passe sécurisés. Les éditeurs de ces gestionnaires de mots de passe soutiennent souvent que les informations stockées au sein de ces applications sont chiffrées et bien en sécurité. En effet, pour qu'un utilisateur puisse accéder aux différents mots de passe stockés, il doit obligatoirement saisir un mot de passe principal qu'il a préalablement défini. Malgré les assurances fournies par les éditeurs, certains spécialistes se posent des questions notamment : est-ce que les utilisateurs peuvent être sûrs à 100 % que leurs données sont stockées en toute sécurité ? Est-il possible d'accéder aux informations d'identification stockées dans ces applications ?

C'est donc pour trouver des réponses à ces différentes questions que des chercheurs de la TeamSIK, un groupe de chercheurs professionnels spécialisés dans la sécurité et travaillant à l'Institut Fraunhofer pour les technologies de l'information sécurisée en Allemagne, ont décidé de faire une analyse approfondie du niveau de sécurité des gestionnaires de mots de passe les plus populaires se trouvant dans le Play Store de Google. Les chercheurs en sécurité ont en effet précisé que leurs travaux ont porté sur les neuf applications qui suivent : My Passwords, Informaticore Password Manager, LastPass, Keeper, F-Secure KEY, Dashlane, Hide Pictures Keep Safe Vault, Avast Passwords et 1Password.

Au terme de leurs travaux, les chercheurs en sécurité affirment avoir découvert des résultats extrêmement préoccupants pour les utilisateurs. Selon eux, les applications de gestion de mots de passe ne fournissent pas suffisamment de mécanismes de protection permettant de garantir la sécurité des informations qui y sont stockées. « Les gestionnaires de mots de passe sous Android souffrent de vulnérabilités extrêmement graves qui peuvent exposer les informations d'identification des utilisateurs », a déclaré le groupe des chercheurs. Ils ajoutent qu'au niveau de certaines applications, le mot de passe principal ainsi que les clés de chiffrement sont stockés en clair dans le code du programme. Cette situation pourrait permettre aux cyberpirates d'accéder à l'ensemble des données d'un utilisateur, cela en contournant facilement l'algorithme de chiffrement.

« Pour d'autres gestionnaires de mots de passe, nous nous sommes rendu compte qu'il est possible d'accéder à l'ensemble des mots de passe et informations d'identification, cela en se servant d'une application tierce malveillante », ont déclaré les chercheurs en sécurité. Ils précisent qu'une fois que l'installation est faite sur l'appareil, l'application malveillante collecte tous les mots de passe et informations d'identification stockées en clair et les envoie à l'attaquant.

L'équipe de la TeamSIK soutient également que certains gestionnaires de mots de passe ne disposent pas d'une protection contre le reniflement du presse-papier. Pour eux, certaines informations d'identification peuvent avoir été copiées dans la mémoire pour permettre à un utilisateur de les coller ultérieurement, toutefois ces informations ne font pas l'objet de suppression via un nettoyage du presse-papier.

Les chercheurs soutiennent également que les éditeurs ajoutent souvent de nouvelles fonctionnalités supplémentaires qui peuvent avoir une incidence sur la sécurité. À titre d'exemple, ils ont cité le cas des fonctions d'autoremplissage qui pourraient être détournées par des personnes mal intentionnées pour voler les informations stockées dans un gestionnaire de mots de passe, cela en utilisant des attaques de phishing. Et pour une meilleure prise en charge des fonctions d'autoremplissage dans les pages Web, quelques-unes des applications fournissent leurs propres navigateurs Web. Cependant, les chercheurs de la TeamSIK estiment que ces navigateurs sont une source supplémentaire de vulnérabilités.

Source : TeamSIK

Et vous ?

Que pensez-vous de ces vulnérabilités découvertes par le TeamSIK ?

[NSKis]

Bon! Pour résumer, selon les chercheurs en question, tous les gestionnaires de mot de passe testés sont des m... totalement inefficaces.

Question idiote: Pourquoi est-ce que ces "experts" ne profitent pas de leur compétences pour développer un gestionnaire de mot de passe performant et 100% sûr?

Cela ne devrait pas être bien difficile pour des "spécialistes" qui connaissent toutes les faiblesses à éviter et cela profiterait à toute la communauté!!!

un groupe de chercheurs professionnels spécialisés dans la sécurité

Je ne savais pas que l'on pouvait être "chercheur amateur"... Certainement un nouveau concept!

[TheLastShot]

@NKSis:
1 - Un système sûr à 100% n'existe pas, tu peux très bien découvrir de nouvelles failles après coup.
2 - L'utilisation d'un gestionnaire de mot de passe est en soi la plus grande des failles, le mieux serait d'arrêter de les utiliser (c'est quand même si compliqué de retenir un mot de passe -_-')
3 - Un chercheur c'est avant tout quelqu'un qui fait de la recherche, tu peux très bien faire de la recherche le soir, chez toi, sans que ce soit pour autant ton boulot, même si on pense souvent, en effet, à quelqu'un dont c'est le métier. (C'est un peu comme dire à un mec qui code 8h tous les soirs que c'est pas un programmeur juste parce qu'il n'a pas de diplôme d'info ou qu'il ne bosse pas en SSII...)

Ceci étant dit le réel problème avec les mots de passe reste encore et toujours la persistance de bien trop de services qui force un format de mot de passe absolument ridicule (il faudrait un jour qu'ils comprennent que "sgGF42$tr" est bien moins sécurisé comme mot de passe que "j'aime les poneys roses qui mangent de la raclette", qui est bien plus facile à retenir...)

[Greg-dev]

Ils ajoutent qu'au niveau de certaines applications, le mot de passe principal ainsi que les clés de chiffrement sont stockés en clair dans le code du programme.

Manquerait plus que le code soit dispo sous Github

[NSKis]

@NKSis:
1 - Un système sûr à 100% n'existe pas, tu peux très bien découvrir de nouvelles failles après coup.

Apparemment certains ont de la peine à détecter l'ironie dans les propos. Je suis le premier à dire que mettre toutes ses données en ligne est une imbécilité parce que rien n'est sûr à 100%

2 - L'utilisation d'un gestionnaire de mot de passe est en soi la plus grande des failles, le mieux serait d'arrêter de les utiliser (c'est quand même si compliqué de retenir un mot de passe -_-')

Et quand tu as une centaine de mots de passe à mémoriser, tu te les colles derrière les oreilles??? Ou mieux, est-ce que tu utilises le même mot de passe pour la centaine d'accès??? Ah non, je sais tu les écris au stylo sur les avant-bras!

Dans ce cas, le gestionnaire de mot de passe est nécessaire!!!

Ceci étant dit le réel problème avec les mots de passe reste encore et toujours la persistance de bien trop de services qui force un format de mot de passe absolument ridicule (il faudrait un jour qu'ils comprennent que "sgGF42$tr" est bien moins sécurisé comme mot de passe que "j'aime les poneys roses qui mangent de la raclette", qui est bien plus facile à retenir...)

Et donc quand il faut gérer une centaine de mots de passe, nous avons "j'aime les poneys roses qui mangent de la raclette", "le merle bleu chante sur la branche de l'églantier", "Toto fait de la luge sur la lune", "bébert aime bien boire du cidre avec juliette"??? Facile de savoir quel mot de passe utiliser pour quel accès!!!

[Aiekick]

suffit que la 1ere lettre de chaque mot soit le nom de domaine

[TheLastShot]

Le principe d'un mot de passe algorithmique tu connais ? Je peux t'assurer que de cette manière je suis capable d'avoir un mot de passe unique pour chacun de mes services (même en prenant en compte leurs règles stupides) sans avoir besoin d'utiliser le moindre gestionnaire de mot de passe... Après chacun sa vision des choses, mais personnellement je préfère maximiser la sécurité plutôt que d'être 100% assisté par des systèmes faillibles.

[Sivenruot]

Le principe d'un mot de passe algorithmique tu connais ? Je peux t'assurer que de cette manière je suis capable d'avoir un mot de passe unique pour chacun de mes services (même en prenant en compte leurs règles stupides) sans avoir besoin d'utiliser le moindre gestionnaire de mot de passe... Après chacun sa vision des choses, mais personnellement je préfère maximiser la sécurité plutôt que d'être 100% assisté par des systèmes faillibles.

D'apres les sources:

!! Update 2017-03-01: All reported vulnerabilities are fixed by the vendors !!

Apres l'uttilisation de ce genre d'outils prete toujours a discussion c'est sur. Meme si pour moi le plus grand interet de ce genre de choses c'est bien moins la generation et la memorisation de tous ses mot passes, que la mise en place de procedure de reset/changement de mot de pass automatiques.

Ce genre de choses est quand meme bien utile lorsque plusieurs sites sont compromis (CloudBleed ?) et que vous souhaitez etre sur de ne pas compromettre votre identitee.

[Itachiaurion]

L'ordinateur restera toujours plus puissant que l'humain pour ce genre de travail. Il existe un ou des gestionnaire de mot de passe open source utilisant AES-256 et/ou twofish permettant de se faire des mot de passe béton pour les utilisations que l'on souhaite et avec un renouvellement pour plus de sécurité. Mettons que tu as besoin de 20 mot de passes, tu peux les avoirs, de taille et de complexité différentes, et avec des rappelles pour les faire changer quand nécessaire. Si tu changes de mdp tous les 3 mois il te faut 80 mdp par an. C'est quand même complexe a gérer et présente trop de contraintes.

Le logiciel que j'utilise (keepass 2), vide le cache quand je copie mon pot de passe au bout de 10 secondes, et je peux régler cela. Je peux générer un mot de passe en caractère spéciaux ASCII ou simplement avec des chiffres et des lettres de la longueur que je veux. D'accord "sgGF42$tr" est bien moins sécurisé comme mot de passe que "j'aime les poneys roses qui mangent de la raclette", mais la phrase que tu sort est aussi par comparaison plus faible que ça par exemple: 9ÇÉÛ6a©¹Â9®×!ÿë"Bq´ÛÝ`°î¨6!(áXïª~Ô(̯㶾xq×>ÑǶ(Iy¤áAz«íçvÇ&G`Ò. Le problèmes étant après les sites qui ont des politiques assez limité pour les mot de passe. J'en connais qui limite les mdp à 12 caractères et au chiffres et lettres uniquement, cela devrais être interdit >.< Tu dit que le système peut être faillible, mais en sécurité le point le plus faillible est en général l'humain. C'est par là que l'on remonte toute la chaîne jusqu’à l'accès root. Un logiciel de gestion de mot de passe open source et utilisant des chiffrement fort a toutes les chances s'il est bien fait d'être non pas à 100% fiable mais de l'être plus que n'importe qu'elle humain.

[BufferBob]

Question idiote: Pourquoi est-ce que ces "experts" ne profitent pas de leur compétences pour développer un gestionnaire de mot de passe performant et 100% sûr?

• parce que ce serait scier la branche sur laquelle ils sont assis ?
• parce que les conseilleurs ne sont pas les payeurs ?
• parce que les spécialistes en sécu ne sont pas des développeurs pour autant ?
• parce qu'une partie de la sécurité repose de facto sur le langage/la vm et que ré-implémenter la roue entièrement n'est pas envisageable ?

Cela ne devrait pas être bien difficile pour des "spécialistes" qui connaissent toutes les faiblesses à éviter et cela profiterait à toute la communauté!!!

haha mais tu troll là, tu sais bien qu'être un pro de la démolition ne fait pas de toi un bâtisseur ;D

[liberal1]

qu'il existe plusieurs précédés

Il y a ceux qui précèdent et ceux qui suivent