Windows 10 : une faille met vos mots de passe à découvert

0
Passé à la moulinette des chercheurs en sécurité de Google, Keeper, un gestionnaire de mots de passe intégré par défaut au navigateur web de certains utilisateurs de Windows 10, s'est avéré comporter une vulnérabilité bien ennuyeuse : le plugin permet à n'importe quel site web auquel vous vous connecteriez de vous voler vos mots de passe !

Aucune victime ne s'est pour l'heure manifestée auprès de l'éditeur. Mais la compagnie a immédiatement réagi en diffusant un correctif.

Certaines versions de Windows 10 concernées

Régulièrement pointé du doigt pour ses failles de sécurité, Windows 10 est une fois de plus sous le feu de la critique. En cause cette fois, Keeper, une extension intégrée par défaut à tous les navigateurs web (qu'il s'agisse de Chrome, Firefox et bien sûr Edge) sur certaines versions du dernier OS en date de Microsoft.

Keeper est présenté comme un gestionnaire de mots de passe : il les mémorise et les stocke pour vous, à l'abri, du moins en théorie, des regards indiscrets. Mais un chercheur du Project Zero, l'équipe d'experts en sécurité informatique chargés depuis 2014 par Google de traquer les vulnérabilités Zero Day, n'a pas mis longtemps à déceler une vulnérabilité critique.




Lastpass déjà épinglé par le passé

Tavis Ormandy, c'est son nom, fait déjà remarquer qu'à aucun moment Windows 10 ne vous a demandé votre consentement pour l'installation de Keeper. En créant une machine virtuelle Windows 10 avec une image vierge de MSDN, la ressource pour développeurs de Microsoft, il a constaté une faille de sécurité « triviale » dans le code source de Keeper, qui permet à « n'importe quel site web de voler n'importe quel mot de passe ».

Tavis Ormandy prouve son affirmation en dévoilant la procédure pour dérober le mot de passe d'un compte Twitter. Keepersecurity, l'éditeur du plugin, a rapidement paré au plus urgent en désactivant la fonctionnalité vulnérable, et a diffusé une mise à jour automatique pour Chrome, Firefox et Edge. Mais la MAJ est à faire manuellement sur Safari. Tavis Ormandy n'en est pas à sa première découverte en matière de gestionnaire défaillant de mots de passe : Lastpass n'avait pas résisté longtemps à ses investigations. Il n'en recommande qu'un seul, le logiciel open source KeePass.

Modifié le 01/06/2018 à 15h36
0
0
Partager l'article :

Les actualités récentes les plus commentées

Microsoft va encore vous inciter à passer de Windows 7 à 10, en plein écran cette fois
Les prix français du Mac Pro sont annoncés, et ils grimpent jusque 62 500€
Limitée à 320 km, l'autonomie de la Porsche Taycan Turbo électrique déçoit...
Windows 7 : il existe un hack pour obtenir les mise à jour de sécurité malgré la fin du support
En Chine, les premiers hybrides singes-cochons, conçus pour des transplantations, sont nés
Selon une étude, 46 % des Français envisageraient d'acheter une voiture électrique ou hybride
Au cas où vous auriez 11 000€ en trop, le Mac Pro et son écran XDR seront disponibles le 10 décembre
Démarchage abusif : 111 millions d'appels bloqués par Orange depuis septembre
Sony : la PS5 sera remplacée plus rapidement que la PS4, une version Pro prévue pour 2023

Notre charte communautaire

1. Participez aux discussions

Nous encourageons chacun à exprimer ses idées sur les sujets qui l'intéressent, et à faire profiter l'ensemble de la communauté de son expertise sur un sujet particulier.

2. Partagez vos connaissances

Que vous soyez expert ou amateur passionné, partagez vos connaissances aux autres membres de la communauté pour enrichir le niveau d'expertise des articles.

3. Échangez vos idées

Donnez votre opinion en étayant votre propos et soyez ouverts aux idées des autres membres de la communauté, même si elles sont radicalement différentes des vôtres.

4. Faites preuve de tolérance

Qu'il s'agisse de rédacteurs professionnels ou amateurs, de lecteurs experts ou passionnés, vous devez faire preuve de tolérance et vous placer dans une démarche d'entraide.

5. Restez courtois

Particulièrement lorsque vous exprimez votre désaccord, critiquez les idées, pas les personnes. Évitez à tout prix les insultes, les attaques et autres jugements sur la forme des messages.

6. Publiez des messages utiles

Chaque participation a vocation à enrichir la discussion, aussi les partages d'humeurs personnelles ne doivent pas venir gêner le fil des échanges.

7. Soignez votre écriture

Utilisez la ponctuation, prohibez le langage SMS et les majuscules, relisez-vous afin de corriger un peu les fautes de frappe et de français : trop de fautes n’engagent ni à lire le message, ni à répondre à une question.

8. Respectez le cadre légal

Ne publiez pas de contenus irrespectueux, racistes, homophobes, obscènes ou faisant l'apologie de courants radicaux, qu'ils soient politiques ou religieux. N'utilisez pas plusieurs comptes utilisateurs.

9. Ne faites pas de promotion

Ne profitez pas d'une discussion pour faire la publicité d'un produit, d'un service ou même de votre site web personnel.

10. Ne plagiez pas

Exprimez uniquement vos opinions ou partagez des idées en citant vos sources.

Abonnez-vous !

Vous n'avez pas le temps de venir nous lire ? Recevez notre newsletter quotidienne ou suivez-nous sur les réseaux sociaux !
scroll top