KeePass a une faille si grave qu’il divulgue tous vos mots de passe

Les gestionnaires de mots de passe sont devenus des programmes très importants pour maintenir une bonne sécurité du réseau. Grâce à eux, en mémorisant un seul mot de passe principal, nous pouvons enregistrer toutes sortes de clés sûres et aléatoires pour chacun des sites Web sur lesquels nous nous inscrivons. Cependant, nous devons choisir avec soin le programme que nous allons utiliser, sinon nous pouvons nous retrouver en échec comme cela est arrivé à tous les utilisateurs de KeePass.

KeePass est l’un des gestionnaires de mots de passe les plus connus utilisés par les utilisateurs. Sa principale particularité est que, contrairement à d’autres services similaires d’enregistrement de mots de passe, celui-ci est entièrement gratuit et open source, et il s’exécute localement sur l’ordinateur plutôt que dans le cloud, ce qui implique une sécurité supplémentaire.

Ce programme crée une base de données sécurisée, dans laquelle tous les mots de passe sont stockés sous forme cryptée. Pour y accéder, nous avons besoin un mot de passe maître, ou pariez sur un certificat numérique qui nous donne une plus grande protection. Le problème est que ce mot de passe a fui et n’importe qui pourrait l’obtenir.

Voici comment KeePass filtre votre mot de passe principal

Lorsque nous ouvrons le programme, la base de données est chargée dans un espace sécurisé en mémoire pour accéder aux mots de passe. Lorsque nous fermons le programme, cet espace est vidé pour ne pas laisser de trace. Jusqu’ici, tout est correct. Cependant, un groupe de chercheurs a découvert qu’il est possible extraire la clé principale de la mémoire système avec un simple exploit. Et, avec lui, accédez à toute la base de données.

De plus, les antivirus ne peuvent pas détecter cette attaque informatique, puisqu’il n’est pas nécessaire d’exécuter de code. Il suffit de générer une erreur critique dans le système pour générer un dump mémoire

Bien qu’aucune attaque informatique n’ait été détectée profitant de cette vulnérabilité, il existe déjà une petite preuve de concept, appelée KeePass Master Password Dumper, qui est disponible sur GitHub et nous permet de la vérifier nous-mêmes. Ce n’est qu’une question de temps avant que cet outil ne fasse partie des kits d’exploitation et que les pirates commencent à exposer les vulnérabilités en masse.

Que faire

De votre côté, vous ne pouvez rien faire. Il s’agit d’une vulnérabilité, déjà enregistrée avec le code CVE-2023-32784, qui doit être corrigé par le développeur lui-même. Le créateur de KeePass a déjà signalé qu’il en était conscient et travaillait sur une solution. La prochaine version du programme, la 2.54, corrigera cette vulnérabilité (et d’autres qui pourraient apparaître en cours de route). Bien sûr, nous devrons encore attendre juillet de cette année pour pouvoir mettre à jour cette version et que nos mots de passe soient sûrs.

Dans tous les cas, il ne faut pas non plus être obsédé par cette vulnérabilité, car pour l’exploiter, il faut avoir accès à l’ordinateur. Si nous verrouillons la session pour empêcher quiconque de l’utiliser et que nous utilisons certaines mesures de sécurité de base (comme éviter de télécharger et d’exécuter des fichiers suspects depuis Internet et utiliser un bon antivirus), personne ne pourra obtenir nos mots de passe KeePass.