Windows 10 : une faille met vos mots de passe à découvert

Alexandre PAULSON
19 décembre 2017 à 16h23
0
Passé à la moulinette des chercheurs en sécurité de Google, Keeper, un gestionnaire de mots de passe intégré par défaut au navigateur web de certains utilisateurs de Windows 10, s'est avéré comporter une vulnérabilité bien ennuyeuse : le plugin permet à n'importe quel site web auquel vous vous connecteriez de vous voler vos mots de passe !

Aucune victime ne s'est pour l'heure manifestée auprès de l'éditeur. Mais la compagnie a immédiatement réagi en diffusant un correctif.

Certaines versions de Windows 10 concernées

Régulièrement pointé du doigt pour ses failles de sécurité, Windows 10 est une fois de plus sous le feu de la critique. En cause cette fois, Keeper, une extension intégrée par défaut à tous les navigateurs web (qu'il s'agisse de Chrome, Firefox et bien sûr Edge) sur certaines versions du dernier OS en date de Microsoft.

Keeper est présenté comme un gestionnaire de mots de passe : il les mémorise et les stocke pour vous, à l'abri, du moins en théorie, des regards indiscrets. Mais un chercheur du Project Zero, l'équipe d'experts en sécurité informatique chargés depuis 2014 par Google de traquer les vulnérabilités Zero Day, n'a pas mis longtemps à déceler une vulnérabilité critique.




Lastpass déjà épinglé par le passé

Tavis Ormandy, c'est son nom, fait déjà remarquer qu'à aucun moment Windows 10 ne vous a demandé votre consentement pour l'installation de Keeper. En créant une machine virtuelle Windows 10 avec une image vierge de MSDN, la ressource pour développeurs de Microsoft, il a constaté une faille de sécurité « triviale » dans le code source de Keeper, qui permet à « n'importe quel site web de voler n'importe quel mot de passe ».

Tavis Ormandy prouve son affirmation en dévoilant la procédure pour dérober le mot de passe d'un compte Twitter. Keepersecurity, l'éditeur du plugin, a rapidement paré au plus urgent en désactivant la fonctionnalité vulnérable, et a diffusé une mise à jour automatique pour Chrome, Firefox et Edge. Mais la MAJ est à faire manuellement sur Safari. Tavis Ormandy n'en est pas à sa première découverte en matière de gestionnaire défaillant de mots de passe : Lastpass n'avait pas résisté longtemps à ses investigations. Il n'en recommande qu'un seul, le logiciel open source KeePass.

Modifié le 01/06/2018 à 15h36
0
0
Partager l'article :

Les actualités récentes les plus commentées

La capitalisation boursière d'Apple dépasse celle de toutes les entreprises du CAC40 réunies
AMD : fleuron de la future cuvée Zen 3, le Ryzen 9 4950X pourrait monter à 4,8 GHz
Donald Trump sanctionné par Twitter et Facebook, pour une vidéo qualifiée de
Projet ATTOL : Airbus fait rouler, décoller et atterrir un avion commercial de façon autonome
Une usine de production de cellule de batteries pour véhicules électriques bientôt en France ?
La version chinoise de la Tesla Model 3 remporte le prix de la qualité de fabrication
Elon Musk envisage la construction d'un Cybertruck plus petit pour l'Europe
Des experts en sécurité inquiets à l'approche de la présentation du premier prototype Neuralink d'Elon Musk
TikTok et maintenant WeChat : les USA veulent
Clean Network, le projet des États-Unis pour préparer leur avenir technologique sans les Chinois
scroll top