Windows 10 : une faille met vos mots de passe à découvert

le mardi 19 décembre 2017
Passé à la moulinette des chercheurs en sécurité de Google, Keeper, un gestionnaire de mots de passe intégré par défaut au navigateur web de certains utilisateurs de Windows 10, s'est avéré comporter une vulnérabilité bien ennuyeuse : le plugin permet à n'importe quel site web auquel vous vous connecteriez de vous voler vos mots de passe !

Aucune victime ne s'est pour l'heure manifestée auprès de l'éditeur. Mais la compagnie a immédiatement réagi en diffusant un correctif.

Certaines versions de Windows 10 concernées


Régulièrement pointé du doigt pour ses failles de sécurité, Windows 10 est une fois de plus sous le feu de la critique. En cause cette fois, Keeper, une extension intégrée par défaut à tous les navigateurs web (qu'il s'agisse de Chrome, Firefox et bien sûr Edge) sur certaines versions du dernier OS en date de Microsoft.

Keeper est présenté comme un gestionnaire de mots de passe : il les mémorise et les stocke pour vous, à l'abri, du moins en théorie, des regards indiscrets. Mais un chercheur du Project Zero, l'équipe d'experts en sécurité informatique chargés depuis 2014 par Google de traquer les vulnérabilités Zero Day, n'a pas mis longtemps à déceler une vulnérabilité critique.




Lastpass déjà épinglé par le passé


Tavis Ormandy, c'est son nom, fait déjà remarquer qu'à aucun moment Windows 10 ne vous a demandé votre consentement pour l'installation de Keeper. En créant une machine virtuelle Windows 10 avec une image vierge de MSDN, la ressource pour développeurs de Microsoft, il a constaté une faille de sécurité « triviale » dans le code source de Keeper, qui permet à « n'importe quel site web de voler n'importe quel mot de passe ».

Tavis Ormandy prouve son affirmation en dévoilant la procédure pour dérober le mot de passe d'un compte Twitter. Keepersecurity, l'éditeur du plugin, a rapidement paré au plus urgent en désactivant la fonctionnalité vulnérable, et a diffusé une mise à jour automatique pour Chrome, Firefox et Edge. Mais la MAJ est à faire manuellement sur Safari. Tavis Ormandy n'en est pas à sa première découverte en matière de gestionnaire défaillant de mots de passe : Lastpass n'avait pas résisté longtemps à ses investigations. Il n'en recommande qu'un seul, le logiciel open source KeePass.

Modifié le 01/06/2018 à 15h36