Windows 10 : une faille met vos mots de passe à découvert

01 juin 2018 à 15h36
0
Passé à la moulinette des chercheurs en sécurité de Google, Keeper, un gestionnaire de mots de passe intégré par défaut au navigateur web de certains utilisateurs de Windows 10, s'est avéré comporter une vulnérabilité bien ennuyeuse : le plugin permet à n'importe quel site web auquel vous vous connecteriez de vous voler vos mots de passe !

Aucune victime ne s'est pour l'heure manifestée auprès de l'éditeur. Mais la compagnie a immédiatement réagi en diffusant un correctif.

Certaines versions de Windows 10 concernées

Régulièrement pointé du doigt pour ses failles de sécurité, Windows 10 est une fois de plus sous le feu de la critique. En cause cette fois, Keeper, une extension intégrée par défaut à tous les navigateurs web (qu'il s'agisse de Chrome, Firefox et bien sûr Edge) sur certaines versions du dernier OS en date de Microsoft.

Keeper est présenté comme un gestionnaire de mots de passe : il les mémorise et les stocke pour vous, à l'abri, du moins en théorie, des regards indiscrets. Mais un chercheur du Project Zero, l'équipe d'experts en sécurité informatique chargés depuis 2014 par Google de traquer les vulnérabilités Zero Day, n'a pas mis longtemps à déceler une vulnérabilité critique.




Lastpass déjà épinglé par le passé

Tavis Ormandy, c'est son nom, fait déjà remarquer qu'à aucun moment Windows 10 ne vous a demandé votre consentement pour l'installation de Keeper. En créant une machine virtuelle Windows 10 avec une image vierge de MSDN, la ressource pour développeurs de Microsoft, il a constaté une faille de sécurité « triviale » dans le code source de Keeper, qui permet à « n'importe quel site web de voler n'importe quel mot de passe ».

Tavis Ormandy prouve son affirmation en dévoilant la procédure pour dérober le mot de passe d'un compte Twitter. Keepersecurity, l'éditeur du plugin, a rapidement paré au plus urgent en désactivant la fonctionnalité vulnérable, et a diffusé une mise à jour automatique pour Chrome, Firefox et Edge. Mais la MAJ est à faire manuellement sur Safari. Tavis Ormandy n'en est pas à sa première découverte en matière de gestionnaire défaillant de mots de passe : Lastpass n'avait pas résisté longtemps à ses investigations. Il n'en recommande qu'un seul, le logiciel open source KeePass.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

Samsung Galaxy S9 : prise jack et chargeur sans fil au rendez-vous ?
Free Mobile : la carte SIM coûtera 10 euros en 2018
Le nouveau Galaxy S9 ressemblera beaucoup au S8
Samsung Galaxy S9 : les caractéristiques techniques auraient fuité
Avec la caméra Roader Time Machine, enregistrez le passé !
Comment régler les couleurs de son écran PC ?
4 techniques simples pour nettoyer son PC
Alimentation de 850 W pour le multi-GPU chez Corsair
USB Type-C : tout savoir sur la nouvelle norme USB
De Facebook... à Sexebook, réseau social coquin ?
Haut de page