TL;DR : L’essentiel
- Bitwarden, LastPass et Dashlane, qui regroupent près de 23 % du marché avec 60 millions d’utilisateurs, centralisent des identifiants sensibles au sein d’une architecture vulnérable basée sur le cloud.
- Une équipe de recherche a reproduit 25 scénarios d’attaques serveur, exploitant des interactions quotidiennes comme la synchronisation des coffres pour accéder aux mots de passe et altérer leur intégrité.
- L’ajout de fonctionnalités ergonomiques, telles que la récupération de compte ou le partage familial, engendre un code complexe accroissant considérablement la surface d’attaque par des programmes usurpateurs malveillants.
- Les fournisseurs concernés disposaient de 90 jours pour corriger ces anomalies techniques sévères, mais la crainte d’une corruption massive de données ralentit la transition vers des normes cryptographiques modernes.
La gestion des accès en ligne impose aujourd’hui une logistique complexe. Un internaute standard naviguant sur divers services en ligne doit désormais mémoriser entre 100 et 200 mots de passe distincts. Pour contourner cette limite cognitive et centraliser ces identifiants derrière une clé maîtresse unique, les gestionnaires de mots de passe basés sur le cloud se sont imposés comme une norme incontournable. Ces infrastructures stockent des accès hautement sensibles, allant des portefeuilles bancaires aux cartes de crédit, en promettant à leurs clients un chiffrement dit à divulgation nulle (« zero-knowledge encryption »). Théoriquement, cette architecture garantit que les données stockées restent illisibles, l’éditeur lui-même n’ayant aucun moyen d’y accéder, même en cas de compromission des serveurs. Cependant, une analyse approfondie menée par le groupe de cryptographie appliquée de l’ETH Zurich remet frontalement en question la solidité de ces promesses technologiques.
Architecture cloud : Le serveur malveillant compromet les coffres
L’évaluation technique de l’ETH Zurich s’est concentrée sur les trois leaders mondiaux du secteur : Bitwarden, LastPass et Dashlane. Ces plateformes sécurisent les données d’un nombre massif d’utilisateurs et dominent le secteur avec près de 23 % des parts de marché. Selon une publication spécialisée, les chercheurs ont élaboré un environnement de test spécifique appelé « modèle de menace par serveur malveillant ». Dans ce scénario strict, le serveur agit de manière compromise suite à un piratage et dévie arbitrairement de son comportement normal lors de ses interactions avec un client, tel qu’un navigateur web.
Les résultats de l’ETH Zurich ont démontré la viabilité technique de 12 scénarios d’attaque ciblant Bitwarden, 7 visant LastPass et 6 dirigés contre Dashlane. L’impact de ces failles varie d’une violation d’intégrité affectant l’espace sécurisé d’un utilisateur spécifique jusqu’à la compromission totale de l’ensemble des dépôts d’une organisation entière utilisant le service. Ces intrusions ne nécessitent aucune puissance de calcul massive, mais de simples petits programmes capables d’usurper l’identité de l’hébergeur lors d’interactions quotidiennes, comme la simple connexion au compte, l’ouverture de l’espace de stockage ou la synchronisation d’un appareil.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Complexité du code : L’ergonomie augmente la surface d’attaque
L’analyse structurelle des programmes révèle une architecture inattendue, dictée par des impératifs commerciaux plutôt que sécuritaires. Afin de proposer le service le plus convivial possible, les éditeurs intègrent des fonctionnalités tierces, telles que des mécanismes de récupération en cas de perte ou la possibilité de distribuer ses accès avec des membres de sa famille. Cette volonté constante de simplifier l’expérience engendre une programmation dense et confuse, multipliant mécaniquement les vecteurs d’attaque potentiels pour des pirates expérimentés.
Comme le détaille une analyse des médias suisses, cette immense concentration d’informations financières transforme logiquement ces plateformes en cibles prioritaires. L’équipe d’experts a constaté que le chiffrement de bout en bout étant encore relativement récent dans les produits grand public, l’industrie n’avait jamais fait l’objet d’un examen technique aussi minutieux, laissant subsister des vulnérabilités critiques ignorées de tous.
Proton Pass
Gérez vos mots de passe et identités en toute simplicité. Chiffrement de bout en bout pour une sécurité maximale de vos accès.
Protocoles obsolètes : La crainte de bloquer les accès paralyse les mises à jour
Conformément aux standards éthiques de la recherche en sécurité de l’information, les acteurs concernés ont disposé d’un délai de 90 jours pour déployer des correctifs avant toute divulgation publique. Si la majorité de l’industrie s’est montrée coopérative, la correction effective du problème s’est avérée particulièrement laborieuse. Les développeurs de ces solutions hésitent massivement à modifier l’architecture centrale de leurs systèmes, redoutant une manipulation défectueuse qui bloquerait définitivement l’accès aux identités numériques pour des milliers d’entreprises clientes. Par conséquent, le rapport détaillé de l’université indique que de nombreux fournisseurs préfèrent maintenir en production des technologies de protection issues des années 90, bien qu’elles soient techniquement dépassées.
Pour endiguer ce risque structurel, les cryptographes préconisent d’implémenter des standards modernes pour tout nouveau client, tout en offrant aux utilisateurs existants une option de migration documentée, en toute connaissance des risques actuels. À l’échelle des organisations, la sélection d’un outil centralisé doit impérativement s’appuyer sur la transparence des audits externes, l’activation stricte d’un modèle mathématique robuste par défaut, et une communication précise sur les garanties techniques réelles.
Pour approfondir le sujet
Comment choisir son gestionnaire de mots de passe
L'hameçonnage et les fuites de données sont monnaie courante sur Internet. La meilleure protection consiste à utiliser un gestionnaire de mots de passe pour générer et renseigner automatiquement un mot de passe unique pour chaque site. Il existe des solutions… Lire la suite
LastPass solde la violation de 2022 par un accord de 8 millions
LastPass accepte de verser un peu plus de 8 millions de dollars pour solder le litige lié à sa faille de 2022, ouvrant la voie à une indemnisation des comptes compromis. Lire la suite
LastPass hacké : comment une faille de 2022 a coûté 150 millions en 2024
En 2024, le cofondateur de Ripple a perdu plus de 100 millions de dollars …. à cause d'une faille LastPass de 2022! Lire la suite
Faille clickjacking : 40 millions d’utilisateurs de gestionnaires de mots de passe exposés
Une vulnérabilité critique expose 40 millions d'utilisateurs de gestionnaires de mots de passe à des risques de vol de données, compromettant ainsi la confiance en… Lire la suite
Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.
