Pourquoi les password managers ne sont pas si sûrs qu’on le pense ?

si sûrs qu’on le pense

Publié le : 26 décembre 20163 mins de lecture

Au cours de la dernière décennie, on a assisté à l’apparition de nombreuses applications et services web qui permettent de sécuriser les identifiants et les mots de passe des utilisateurs. La sécurité a pu gagner du terrain et permet de limiter les actes de malveillance, de vol de données ou encore de faille de sécurité.

Les services online password managers (OPM), c’est-à-dire ceux où la base de données se trouve sur le serveur en ligne du fournisseur de service OPM sont-ils vraiment aussi fiables qu’ils le prétendent. Voilà la question que tout le monde peut se poser. Lorsqu’un utilisateur souhaite récupérer ses credentials, celui-ci se connecte simplement sur son compte OPM par l’intermédiaire de son navigateur web, que ce soit avec une extension, sur une page web, ou encore avec un bookmarklet . Ces outils sont en général utilisés pour les navigateurs web mobiles qui ne permettent pas l’utilisation d’extension web. Les password managers ne seraient donc pas aussi sûrs qu’ils ne le prétendent.

Sur 5 OPM mis à l’épreuve OPM deux d’entre eux ont été détectés comme vulnérables aux cyberattaques. En exemple, on peut citer RoboForm : lorsque la victime utilise un bookmarklet sans être au préalable connectée à son OPM, alors le bookmarklet génère une fenêtre contenant le formulaire d’authentification à RoboForm au sein même dans la page web courante. Si cette page web est compromise, il ne reste plus qu’au hacker d’enregistrer les identifiants de connexion RoboForm  tapés par la victime et il aura réussi son coup. On s’est rendu compte que certains OPM ne faisaient pas la différence entre les notions d’autorisation et d’authentification. Le résultat est alors plutôt catastrophique et aucun exploit de sécurité n’est alors nécessaire pour obtenir les credentials d’une victime quelconque.

Le côté positif des OPM est qu’ils ont fait leur preuve pour des aspects pratiques et conviviaux. Ils permettent à un utilisateur lambda de pouvoir s’authentifier à divers applications et services web via des mots de passe uniques et solides. Cependant, il faut rester prudent quant à leur utilisation. Les vulnérabilités dévoilées par les chercheurs sur les cinq leaders OPM du marché montrent que ces outils ne sont pas encore assez performants et sécurisés. Il faut cependant remarquer que lors du test, la majorité de ces OPM ont répondu positivement à la publication de vulnérabilités et ont corrigé leur produit comme par exemple LastPass qui a reconnu l’existence de certaines vulnérabilités de son password manager.

Plan du site