Windows 10 : une faille met vos mots de passe à découvert

19 décembre 2017 à 16h23
0
Passé à la moulinette des chercheurs en sécurité de Google, Keeper, un gestionnaire de mots de passe intégré par défaut au navigateur web de certains utilisateurs de Windows 10, s'est avéré comporter une vulnérabilité bien ennuyeuse : le plugin permet à n'importe quel site web auquel vous vous connecteriez de vous voler vos mots de passe !

Aucune victime ne s'est pour l'heure manifestée auprès de l'éditeur. Mais la compagnie a immédiatement réagi en diffusant un correctif.

Certaines versions de Windows 10 concernées

Régulièrement pointé du doigt pour ses failles de sécurité, Windows 10 est une fois de plus sous le feu de la critique. En cause cette fois, Keeper, une extension intégrée par défaut à tous les navigateurs web (qu'il s'agisse de Chrome, Firefox et bien sûr Edge) sur certaines versions du dernier OS en date de Microsoft.

Keeper est présenté comme un gestionnaire de mots de passe : il les mémorise et les stocke pour vous, à l'abri, du moins en théorie, des regards indiscrets. Mais un chercheur du Project Zero, l'équipe d'experts en sécurité informatique chargés depuis 2014 par Google de traquer les vulnérabilités Zero Day, n'a pas mis longtemps à déceler une vulnérabilité critique.




Lastpass déjà épinglé par le passé

Tavis Ormandy, c'est son nom, fait déjà remarquer qu'à aucun moment Windows 10 ne vous a demandé votre consentement pour l'installation de Keeper. En créant une machine virtuelle Windows 10 avec une image vierge de MSDN, la ressource pour développeurs de Microsoft, il a constaté une faille de sécurité « triviale » dans le code source de Keeper, qui permet à « n'importe quel site web de voler n'importe quel mot de passe ».

Tavis Ormandy prouve son affirmation en dévoilant la procédure pour dérober le mot de passe d'un compte Twitter. Keepersecurity, l'éditeur du plugin, a rapidement paré au plus urgent en désactivant la fonctionnalité vulnérable, et a diffusé une mise à jour automatique pour Chrome, Firefox et Edge. Mais la MAJ est à faire manuellement sur Safari. Tavis Ormandy n'en est pas à sa première découverte en matière de gestionnaire défaillant de mots de passe : Lastpass n'avait pas résisté longtemps à ses investigations. Il n'en recommande qu'un seul, le logiciel open source KeePass.

Modifié le 01/06/2018 à 15h36
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités récentes

Tesla augmente de 30% la facture de ses toits solaires... déjà vendus
La dernière mise à jour de Windows enterre définitivement la version de Edge non-basée sur Chromium
Arrêté par le FBI, il voulait faire sauter un centre de données d'Amazon
Télétravail : le TOP des bons plans pour s'équiper au meilleur prix
Alors, on regarde ? The Nevers S01E01
Belle promotion sur la barre de son Samsung HW-T420 à moins de 100€
La cybercriminalité, plus inquiétante pour l’économie mondiale que les crises financières ?
120€ de réduction sur la trottinette électrique Xiaomi Mi Electric Scooter 1S
Citroën C5 X hybride : le nouveau modèle de Citroën dévoilé en détails
Bon plan : nouvelle baisse de prix sur les écouteurs sans fil Apple AirPods 2
Haut de page