KeePass : une vulnérabilité majeure permettrait de prendre le contrôle de vos mots de passe

Alexandre Boero
Chargé de l'actualité de Clubic
19 mai 2023 à 16h00
27
© Titima Ongkantong / Shutterstock
© Titima Ongkantong / Shutterstock

Le gestionnaire KeePass est touché par une vulnérabilité qui permet à l'attaquant de récupérer le mot de passe principal des victimes exposées.

Si même les gestionnaires de mots de passe souffrent de brèches sérieuses de sécurité, mais où va le monde ? Après les (nombreux) déboires de LastPass, cette fois c'est son concurrent KeePass, en théorie censé chiffrer toute sa base de données, qui est en souffrance. Le gestionnaire de mots de passe open source et gratuit de près de 20 ans d'âge est touché par une faille critique, découverte par un chercheur sur GitHub.

Une faille exploitable sur Windows, macOS et Linux

La faille en question permet de récupérer le mot de passe maître, qui est ô combien crucial pour tous les utilisateurs de l'outil, car c'est avec ce seul identifiant de protection que l'on peut accéder à toute la base de données comprenant donc, les mots de passe, les noms d'utilisateur, les URL et autres.

Comprenez ainsi que cette base de données, chiffrée, ne peut être débloquée qu'avec le mot de passe maître. Mieux vaut donc éviter qu'il tombe entre de mauvaises mains, parce qu'autant se dire que le hacker aurait accès à un vrai coffre au trésor.

La vulnérabilité permet de récupérer le mot de passe principal en clair à partir d'un vidage mémoire (ou vidage de la RAM), et ce, même lorsque l'espace de travail est verrouillé, ou qu'il ne fonctionne plus, expliquent les spécialistes de Malwarebytes, qui offrent une nouvelle lecture de la faille, d'ailleurs exploitable sur Windows, macOS et Linux.

© Shutterstock
© Shutterstock

Une vulnérabilité qui ne sera corrigée que cet été

Seul le premier caractère du mot de passe d'un utilisateur ne peut pas être récupéré. Au-delà de la criticité certaine de la faille, il n'est pas urgent de paniquer, selon les spécialistes. Si vous possédez un compte KeePass, vous ne risquez rien, a priori, car l'attaquant doit d'abord avoir compromis votre appareil. Et si les chercheurs cyber appellent à la prudence, ils précisent aussi qu'il existe différents moyens de se prémunir de cette vulnérabilité.

L'un d'eux consiste en l'utilisation d'une clé physique, une Yubikey par exemple, qui vous permettra de conserver le mot de passe maître hors de la zone de texte. Il ne se retrouvera, en effet, pas dans la mémoire système.

La dernière version disponible de KeePass (2.53.1) est malheureusement aussi vulnérable. La faille sera corrigée dans la version 2.54, que KeePass devrait déployer cet été, probablement dans le courant du mois de juillet. Il faudra être patient, les développeurs de l'application expliquant travailler sur d'autres fonctionnalités liées à la sécurité.

Source : GitHub, Malwarebytes Labs

Alexandre Boero

Alexandre Boero

Chargé de l'actualité de Clubic

Chargé de l'actualité de Clubic

Journaliste, chargé de l'actualité de Clubic. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJC...

Lire d'autres articles

Journaliste, chargé de l'actualité de Clubic. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM, école reconnue par la profession), pour écrire, interviewer, filmer, monter et produire du contenu écrit, audio ou vidéo au quotidien. Quelques atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la production vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et la musique :)

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (27)

Baxter_X
« Une faille exploitable sur Windows, macOS et Linux »<br /> Ouf, j’ai eu peur que tous les OS soient concernés…
Loposo
Tout ceux qui critiquaient les gens qui utilise des bitwarden 1password… Et la quelques mois pour fix le probleme, donc on laisse une faille connu traîné car la flemme de sortir 1 vers avant les nouveauté
phoenix2
Le comble, sinon Clubic y’aurait pas un moyen de faciliter l’interaction avec les commentaires, le nouveaux système est pénible !!?
MattS32
Loposo:<br /> Et la quelques mois pour fix le probleme, donc on laisse une faille connu traîné car la flemme de sortir 1 vers avant les nouveauté<br /> Non, simplement car la faille n’est vraiment pas critique, puisque pour l’exploiter il faut déjà réussir à prendre la main sur la machine, et avec un niveau de privilèges élevé : à ce stade il y a de toute façon aussi d’autres moyens de chopper le mot de passe maître (y compris ceux de logiciels concurrents), comme un keylogger par exemple (et ça tombe bien, parce que le contournement pour se protéger de cette faille, il protège aussi contre les keyloggers)…
Pronimo
He beh, et dire que 1Password a récemment sortie son truc solution biométriques… bonne chance a ces services cloud lol.
Jissou06
C’est aussi pour cela qu’il est fortement recommandé d’utiliser KeyPassXC, un fort du keypass original (xc pour crossplateform parce que dispo sur toutes les plateformes) qui lui est activement développé et suivi (contrairement à KeyPass qui lui date et n’est plus trop suivi).<br /> De plus xc propose quantité de fonctionnalités supplémentaires et modernes comme l’autocompletion d’un formulaire Web, l’utilisation de 2FA ou de yubikey…<br /> Attention le passage à keyPassXC change le format de la DB contenant les mots de passe empêchant tout retour en arrière possible
dredd
« Si vous possédez un compte KeePass, vous ne risquez rien, a priori, car l’attaquant doit d’abord avoir compromis votre appareil. » Hein, qué compte ? C’est une appli offline.<br /> Sinon comme dit plus haut, pour avoir un dump mémoire d’une machine sans que le proprio s’en rende compte c’est que t’a pas que son keepass qui est compromis. Et il y a heureusement moultes contournement pour limiter le risque en attendant le patch. En fait il n’y a que ceux qui se font saisir physiquement leur matos par suprise (les criminels, mais malheureusement aussi les opposants politiques) qui risquent quelque chose. Même si j’imagine que pour les opposants, il y a des moyens plus medievaux d’obtenir leur mot de passe que l’ingénierie informatique.
StephaneGotcha
Ça vaut pas des post-it jaunes, scotchés sur l’écran …
jvachez
Après pour la plupart des gens qui utilisent Keepass suffit de récupérer le mot de passe dans un raccourci car ça agace vite de devoir taper un mot de passe pour obtenir un autre mot de passe.
LeChien
Il y a une différence entre un défaut de protection conscient et non annoncé de la part de l’éditeur dont les données clients en ligne se font pomper et un gestionnaire de mot de passe ayant une faille nécessitant l’accès physique (ou une corruption assez avancée que pour pouvoir dumper la mémoire) au poste… à un moment où la clé principale réside en mémoire.<br /> Reste que, pour ma part, ma db keepass nécessite deux éléments pour être déverrouillée…
juju251
Peggy10Huitres:<br /> Oui, on est plusieurs à l’avoir fait remarquer, mais …<br /> Je pensais que cela avait été déjà fait, mais il semble que non.<br /> Bref, je viens de le remonter à la team Clubic.
odyssseus
Ca peut marcher.<br /> Par exemple, tu écris les 8 premiers caractères sur le post-it, et tu retiens les 8 derniers.
ld9474
Baxter_X:<br /> « Une faille exploitable sur Windows, macOS et Linux »<br /> Ouf, j’ai eu peur que tous les OS soient concernés…<br /> Android n’a pas l’air concerné <br /> Jissou06:<br /> C’est aussi pour cela qu’il est fortement recommandé d’utiliser KeyPassXC, un fort du keypass original (xc pour crossplateform parce que dispo sur toutes les plateformes)<br /> Un fork? Keepass est écrit en C#, et XC en C++. Ca me parait bizarre. Pour info il y a des applis sur android qui permettent de lire et d’écrire des bases de données KeePass.
Jules
J’utilise Keypass pour les accès les plus courants, mais coordonnées bancaires ne sont pas dans Keypass.
Baxter_X
ld9474:<br /> Android n’a pas l’air concerné <br /> Bien vu<br /> ld9474:<br /> Un fork? Keepass est écrit en C#, et XC en C++. Ca me parait bizarre. Pour info il y a des applis sur android qui permettent de lire et d’écrire des bases de données KeePass.<br /> Je me suis dit un peu la même chose aussi
MattS32
ld9474:<br /> Un fork? Keepass est écrit en C#, et XC en C++. Ca me parait bizarre. Pour info il y a des applis sur android qui permettent de lire et d’écrire des bases de données KeePass.<br /> Cette différence de langage, et du coup de framework, avec l’impact que ça a sur l’intégration de l’application avec l’OS est d’ailleurs un des arguments avancés par KeePassXC en sa faveur.<br /> Ce n’est pas un fork, c’est comme les versions mobiles, ils ont écrit une application compatible en se basant sur le format de fichier de KeePass.
MattS32
ld9474:<br /> Android n’a pas l’air concerné<br /> Android n’est pas concerné parce que KeePass n’existe pas officiellement pour Android. La faille de KeePass concerne bien tous les OS sur lesquels il tourne.<br /> En pratique, ça doit être possible de le faire tourner avec des outils qui packagent des applis Linux pour Android, comme ça a été fait pour OpenOffice, et la faille sera alors bien là…<br /> Mais on pourra dire que comme la news ne dit pas GNU/Linux mais Linux, ça englobe Android, puisqu’il utilise bien un noyau Linux ^^
Nerva
Sous Linux, je suis à la version 2.66 de KeePassXC. J’avoue que je ne connais pas la différence avec la version « normale ».
MattS32
C’est un peu comme MS Office et Libre Office. Ça utilise le même format de fichier, mais ce sont deux logiciels complètement différents.<br /> Bon, j’exagère peut-être un peu, car comme KeePass est open source les auteurs de KeePass XC ont pu s’inspirer directement du code de KeePass pour certaines portions, ce que n’ont pas pu faire les auteurs de LibreOffice avec MS Office. Mais il n’y a quand même pas directement de code commun, puisqu’ils sont écrits dans des langages différents.
Darth_1_1
Je garde mon carnet à mots de passe, avec des feuilles en papier et un stylo.<br /> Inviolable.
MattS32
Un cambriolage, un incendie, et pfuit, fini. Ou simplement tu peux le perdre quand tu l’emmènes avec toi quelque part…<br /> J’en connais plus d’un qui raisonnaient comme toi et ont changé d’avis quand il était déjà trop tard…
Kaggan
Keepass enchaine depuis quelques mois. Ils n’arrêtent pas de montrer qu’ils sont moins sécurisé qu’un fichier excel protégé par mot de passe.
Spence
« L’un d’eux consiste en l’utilisation d’une clé physique, une Yubikey par exemple, qui vous permettra de conserver le mot de passe maître hors de la zone de texte »<br /> C’est faux, vu que le pass reste en mémoire.
MattS32
Spence:<br /> « L’un d’eux consiste en l’utilisation d’une clé physique, une Yubikey par exemple, qui vous permettra de conserver le mot de passe maître hors de la zone de texte »<br /> C’est faux, vu que le pass reste en mémoire.<br /> Tu penses mieux connaître le truc que ceux qui ont découvert et analysé la faille et ont dit qu’elle n’est pas présente quand on utiliser une YubiKey ? <br /> La faille est due à la façon dont .NET gère ce qui est tapé dans un champ de saisie de mot de passe (donc un champ texte où il affiche des * à la place des caractères), et non pas à KeePass qui garde le mot de passe en mémoire.<br /> Dans le cas de l’utilisation d’une YubiKey, la saisie du mot de passe se fait différemment et le problème ne survient pas. De même, il ne survient pas si le mot de passe est copié-collé vers le champ de saisie au lieu d’être tapé directement dedans (la fuite vient du composant .NET qui gère les * pour les champs de saisie en fait, à chaque frappe il y a une chaîne qui reste en mémoire et qui contient les * remplaçant les premiers caractères + le dernier caractère saisi… en récupérant les différentes chaînes, on retrouve donc les caractères successifs du mot de passe… mais en cas de copier-coller il n’y a pas ces chaînes successives).<br /> Par contre, le problème touche aussi les champs de saisie de mots de passe pour les entrées de la base KeePass, donc quand on ajoute un nouvel enregistrement dans la base, et ce quelque soit le mode d’authentification pour l’ouverture de la base. La portée est toutefois plus limitée, puisque dans ce cas la fuite se limite à un mot de passe, pas au mot de passe maître.<br /> Ce qui confirme au passage bien que KeePassXC n’est pas touché : comme il est inspiré du code de KeePass, il pourrait éventuellement être aussi touché par une faille dans la logique du code de KeePass, mais comme là il s’agit d’une faille « héritée » du composant .NET utilisé, aucun risque pour KeePassXC, qui n’utilise pas .NET.
Pernel
KeePass est encore suivi régulièrement …
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

Piratage de LastPass : quand les gestionnaires de mots de passe se tirent dans les pattes Piratage de LastPass : quand les gestionnaires de mots de passe se tirent dans les pattes
Oups ! Vous utilisez LastPass ? Des hackers ont sans doute des informations vous concernant... Oups ! Vous utilisez LastPass ? Des hackers ont sans doute des informations vous concernant...
Synology corrige une faille de gravité maximale, mettez-vous vite à jour ! Synology corrige une faille de gravité maximale, mettez-vous vite à jour !
Mettez Chrome à jour maintenant, une nouvelle faille zero-day est à corriger Mettez Chrome à jour maintenant, une nouvelle faille zero-day est à corriger
Ce gestionnaire de mots de passe très connu veut que vous arrêtiez d'en utiliser Ce gestionnaire de mots de passe très connu veut que vous arrêtiez d'en utiliser