Oups, vos mots de passe Proton Pass étaient vulnérables en mémoire vive

Proton a mandaté le cabinet Recurity Labs pour un audit complet de son gestionnaire de mots de passe. Le rapport, rendu public cette semaine, liste huit vulnérabilités, mais aucune d'entre elles n'est critique.

Proton Pass avait déjà fait l'objet d'un audit par Cure53 en 2023, lequel avait conclu à une sécurité globalement solide. Cette fois, c'est Recurity Labs, cabinet certifié ISO 27001, qui a conduit l'exercice entre janvier et avril 2026 sur l'ensemble des composants : applications mobile et desktop, extensions navigateur pour Chrome, Safari et Firefox, interface en ligne de commande (CLI), et backend.

Huit failles identifiées, dont une seule au-dessus du seuil "faible"

Pour mener l'audit, Recurity Labs a disposé des codes sources de la plupart des composants, à l'exception du backend, examiné en boîte noire sans accès à l'infrastructure. Cette approche dite "grey-box" combine analyse statique du code et tests dynamiques. Au total, huit vulnérabilités ont été découvertes.

La faille la plus sérieuse touchait l'application Android, avec un score CVSS de 4,4 sur 10 (niveau "medium"). Lors d'une déconnexion, Proton Pass propose d'effacer les données locales de l'utilisateur. Or, certaines persistaient dans un fichier annexe appelé db-passkey-wal. Ce fichier est propre à SQLite. Il conserve temporairement les transactions en attente avant de les écrire dans la base principale. Des données censées supprimées (notamment l'identifiant utilisateur) pouvaient donc en théorie être récupéres sur l'appareil. Cette vulnérabilité a été corrigée et confirmée comme résolue lors du second retest, dans la version 1.39.2 de l'application.

Les quatre failles découvertes dans la CLI sont toutes de faible sévérité. Elles portent sur la gestion des fichiers système. Elle pointent l'absence de vérification des liens symboliques, des permissions trop permissives sur les fichiers de session, et deux conditions de course liées respectivement à la définition des permissions de fichiers et à la terminaison de processus. Ces dernières restent très difficiles à exploiter en pratique.

Mémoire vive et trousseau iOS : deux chantiers encore ouverts

Le rapport consacre une section importante à la gestion des secrets en mémoire dans l'application desktop. Des identifiants et mots de passe pouvaient être extraits de la RAM, même après un verrouillage ou une déconnexion. Le mécanisme d'obfuscation reposait sur un XOR (une opération de chiffrement léger) mais la valeur chiffrée et sa clé de déchiffrement étaient stockées côte à côte en mémoire, ce qui les rendait triviales à récupérer. Ces observations sont restées non notées car hors du modèle de menace défini par Proton, mais l'équipe a choisi de les corriger malgré tout. L'ensemble des points était résolu lors du second test d'avril.

Sur iOS, les données stockées dans le trousseau Apple restent accessibles même lorsque l'écran est verrouillé. Proton a identifié une correction, mais a choisi de ne pas la déployer, jugeant le changement trop risqué.

Sur les extensions navigateur, les auditeurs signalent un comportement par défaut : les identifiants enregistrés pour un sous-domaine peuvent être proposés automatiquement sur un autre sous-domaine du même domaine. Ce n'est pas une faille au sens strict. La plupart des gestionnaires de mots de passe fonctionnent de la même façon. Toutefois, elle reste documentée comme un compromis entre sécurité et confort d'utilisation. Recurity Labs qualifie la posture de sécurité globale de Proton Pass de "well above par", avec un bémol sur plusieurs correctifs encore partiels ou reportés.