Certains gestionnaires de mots de passe populaires vulnérables aux cyberattaques

Des chercheurs de l'Université de York ont ​​testé cinq gestionnaires de mots de passe populaires et ont découvert que tous les cinq étaient vulnérables aux cyberattaques. Les vulnérabilités ne se distinguent pas des applications réelles des copies malveillantes, des attaques par force brute et du vol du presse-papiers.

Gestionnaire de mots de passe testé

Une équipe de chercheurs de l'Université de York a décidé de tester à nouveau cinq gestionnaires de mots de passe: Dashlane, LastPass, Keeper, 1Password et RoboForm. Ce gestionnaire de mots de passe est le plus utilisé, j'ai donc choisi de le tester à nouveau.

En 2017, des problèmes ont été détectés dans ces 5 gestionnaires de mots de passe. Plus tard, les chercheurs ont contacté le fournisseur pour divulguer la vulnérabilité découverte. Cependant, seuls quelques fournisseurs ont publié des correctifs car il a été démontré que leur priorité aux problèmes est faible.

Pourquoi utiliser un gestionnaire de mots de passe

Password Manager vous permet de stocker toutes vos informations d'identification pour divers services et applications en ligne dans un seul emplacement. Les utilisateurs n'ont donc qu'à se souvenir du mot de passe principal du gestionnaire de mots de passe au lieu de chaque mot de passe unique pour diverses applications.

De plus, pour utiliser un gestionnaire de mots de passe, également appelé coffre-fort, vous devez créer des informations d'identification solides et uniques pour chaque application en ligne. Cependant, si le gestionnaire de mots de passe lui-même est vulnérable aux cyberattaques, il n'y a pas de différence entre des informations d'identification fortes et uniques.

Résultat du test

Dans un rapport publié ce mois-ci, l'équipe de recherche détaille les vulnérabilités trouvées dans les cinq gestionnaires de mots de passe mentionnés ci-dessus.

Correspondance faible

Les vulnérabilités les plus importantes découvertes en premier sont liées aux gestionnaires de mots de passe utilisant des critères de correspondance faibles. Cela permet aux applications malveillantes qui prétendent être de véritables applications de tromper les gestionnaires de mots de passe pour révéler leurs mots de passe. Cette faille affecte à la fois 1Password et LastPass.

Les chercheurs ont créé un faux écran de connexion Google pour ressembler exactement à celui officiel. La faible correspondance utilisée par 1Password et LastPass "cela suggère que LastPass remplit automatiquement la page de connexion avec les informations d'identification Google stockées dans le coffre-fort de l'utilisateur lorsque l'application malveillante démarre", ont expliqué les chercheurs.

Attaque par force brute

Les gestionnaires de mots de passe Keeper, Dashlane et 1Password se sont révélés vulnérables aux attaques par force brute. En effet, ces 3 gestionnaires de mots de passe ne limitent pas le nombre de tentatives de connexion qu'un utilisateur doit saisir le mot de passe principal. Aucun des 5 gestionnaires de mots de passe n'a suivi le nombre de tentatives de connexion non valides. Cependant, RoboForm et LastPass prennent des mesures pour ralentir les éventuelles attaques par force brute.

Une attaque par force brute nécessite de soumettre un grand nombre de mots de passe afin que les attaquants puissent éventuellement deviner avec précision.

Voler le presse-papiers

La dernière vulnérabilité découverte par les chercheurs est le vol de presse-papiers. Tous les gestionnaires de mots de passe, à l'exception de 1Password, ne protégeaient pas suffisamment les informations d'identification copiées dans le presse-papiers. Par exemple, dans Windows 10, même si votre ordinateur est verrouillé, vous pouvez coller vos informations d'identification sous forme de texte brut à partir du presse-papiers.

Le dernier mot

Malgré les vulnérabilités mentionnées ci-dessus, l'équipe de recherche de l'Université de York souligne toujours l'importance d'utiliser un gestionnaire de mots de passe.

«Les gestionnaires de mots de passe sont toujours le meilleur moyen de gérer les mots de passe. Les consommateurs sont donc toujours encouragés à utiliser des mots de passe forts différents pour différents comptes. Comme les cybercriminels utilisent le phishing, le piratage et les attaques par force brute et d'autres technologies pour voler des mots de passe, les consommateurs doivent utiliser des mots de passe différents pour tous les comptes afin de limiter leur exposition aux violations de données. "

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *