Navigation
Les derniers articles
Suivez en direct

Mots de passe : l’ETH Zurich expose la faille des gestionnaires

Illustration sur la cybersécurité montrant le logo de l'ETH Zurich et un clavier d'ordinateur symbolisant une faille des gestionnaires de mots de passe.
Une récente étude de l’ETH Zurich démontre que les principaux gestionnaires de mots de passe cloud souffrent de graves vulnérabilités de chiffrement.

TL;DR : L’essentiel

  • Bitwarden, LastPass et Dashlane, qui regroupent près de 23 % du marché avec 60 millions d’utilisateurs, centralisent des identifiants sensibles au sein d’une architecture vulnérable basée sur le cloud.
  • Une équipe de recherche a reproduit 25 scénarios d’attaques serveur, exploitant des interactions quotidiennes comme la synchronisation des coffres pour accéder aux mots de passe et altérer leur intégrité.
  • L’ajout de fonctionnalités ergonomiques, telles que la récupération de compte ou le partage familial, engendre un code complexe accroissant considérablement la surface d’attaque par des programmes usurpateurs malveillants.
  • Les fournisseurs concernés disposaient de 90 jours pour corriger ces anomalies techniques sévères, mais la crainte d’une corruption massive de données ralentit la transition vers des normes cryptographiques modernes.

La gestion des accès en ligne impose aujourd’hui une logistique complexe. Un internaute standard naviguant sur divers services en ligne doit désormais mémoriser entre 100 et 200 mots de passe distincts. Pour contourner cette limite cognitive et centraliser ces identifiants derrière une clé maîtresse unique, les gestionnaires de mots de passe basés sur le cloud se sont imposés comme une norme incontournable. Ces infrastructures stockent des accès hautement sensibles, allant des portefeuilles bancaires aux cartes de crédit, en promettant à leurs clients un chiffrement dit à divulgation nulle (« zero-knowledge encryption »). Théoriquement, cette architecture garantit que les données stockées restent illisibles, l’éditeur lui-même n’ayant aucun moyen d’y accéder, même en cas de compromission des serveurs. Cependant, une analyse approfondie menée par le groupe de cryptographie appliquée de l’ETH Zurich remet frontalement en question la solidité de ces promesses technologiques.

Architecture cloud : Le serveur malveillant compromet les coffres

L’évaluation technique de l’ETH Zurich s’est concentrée sur les trois leaders mondiaux du secteur : Bitwarden, LastPass et Dashlane. Ces plateformes sécurisent les données d’un nombre massif d’utilisateurs et dominent le secteur avec près de 23 % des parts de marché. Selon une publication spécialisée, les chercheurs ont élaboré un environnement de test spécifique appelé « modèle de menace par serveur malveillant ». Dans ce scénario strict, le serveur agit de manière compromise suite à un piratage et dévie arbitrairement de son comportement normal lors de ses interactions avec un client, tel qu’un navigateur web.

Les résultats de l’ETH Zurich ont démontré la viabilité technique de 12 scénarios d’attaque ciblant Bitwarden, 7 visant LastPass et 6 dirigés contre Dashlane. L’impact de ces failles varie d’une violation d’intégrité affectant l’espace sécurisé d’un utilisateur spécifique jusqu’à la compromission totale de l’ensemble des dépôts d’une organisation entière utilisant le service. Ces intrusions ne nécessitent aucune puissance de calcul massive, mais de simples petits programmes capables d’usurper l’identité de l’hébergeur lors d’interactions quotidiennes, comme la simple connexion au compte, l’ouverture de l’espace de stockage ou la synchronisation d’un appareil.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord
LastPass solde la violation de 2022 par un accord de 8 millions

LastPass solde la violation de 2022 par un accord de 8 millions

dcod.ch

LastPass accepte de verser un peu plus de 8 millions de dollars pour solder le litige lié à sa faille de 2022, ouvrant la voie à une indemnisation des comptes compromis. Lire la suite

LastPass hacké : comment une faille de 2022 a coûté 150 millions en 2024

LastPass hacké : comment une faille de 2022 a coûté 150 millions en 2024

dcod.ch

En 2024, le cofondateur de Ripple a perdu plus de 100 millions de dollars …. à cause d'une faille LastPass de 2022! Lire la suite

Complexité du code : L’ergonomie augmente la surface d’attaque

L’analyse structurelle des programmes révèle une architecture inattendue, dictée par des impératifs commerciaux plutôt que sécuritaires. Afin de proposer le service le plus convivial possible, les éditeurs intègrent des fonctionnalités tierces, telles que des mécanismes de récupération en cas de perte ou la possibilité de distribuer ses accès avec des membres de sa famille. Cette volonté constante de simplifier l’expérience engendre une programmation dense et confuse, multipliant mécaniquement les vecteurs d’attaque potentiels pour des pirates expérimentés.

Comme le détaille une analyse des médias suisses, cette immense concentration d’informations financières transforme logiquement ces plateformes en cibles prioritaires. L’équipe d’experts a constaté que le chiffrement de bout en bout étant encore relativement récent dans les produits grand public, l’industrie n’avait jamais fait l’objet d’un examen technique aussi minutieux, laissant subsister des vulnérabilités critiques ignorées de tous.

Logo Proton Pass

Proton Pass

Gérez vos mots de passe et identités en toute simplicité. Chiffrement de bout en bout pour une sécurité maximale de vos accès.

Voir l’offre
🛒 Lien affilié DCOD

Protocoles obsolètes : La crainte de bloquer les accès paralyse les mises à jour

Conformément aux standards éthiques de la recherche en sécurité de l’information, les acteurs concernés ont disposé d’un délai de 90 jours pour déployer des correctifs avant toute divulgation publique. Si la majorité de l’industrie s’est montrée coopérative, la correction effective du problème s’est avérée particulièrement laborieuse. Les développeurs de ces solutions hésitent massivement à modifier l’architecture centrale de leurs systèmes, redoutant une manipulation défectueuse qui bloquerait définitivement l’accès aux identités numériques pour des milliers d’entreprises clientes. Par conséquent, le rapport détaillé de l’université indique que de nombreux fournisseurs préfèrent maintenir en production des technologies de protection issues des années 90, bien qu’elles soient techniquement dépassées.

Pour endiguer ce risque structurel, les cryptographes préconisent d’implémenter des standards modernes pour tout nouveau client, tout en offrant aux utilisateurs existants une option de migration documentée, en toute connaissance des risques actuels. À l’échelle des organisations, la sélection d’un outil centralisé doit impérativement s’appuyer sur la transparence des audits externes, l’activation stricte d’un modèle mathématique robuste par défaut, et une communication précise sur les garanties techniques réelles.

Pour approfondir le sujet

Comment choisir son gestionnaire de mots de passe

Comment choisir son gestionnaire de mots de passe

eff.org

L'hameçonnage et les fuites de données sont monnaie courante sur Internet. La meilleure protection consiste à utiliser un gestionnaire de mots de passe pour générer et renseigner automatiquement un mot de passe unique pour chaque site. Il existe des solutions… Lire la suite

Faille clickjacking : 40 millions d’utilisateurs de gestionnaires de mots de passe exposés

Faille clickjacking : 40 millions d’utilisateurs de gestionnaires de mots de passe exposés

dcod.ch

Une vulnérabilité critique expose 40 millions d'utilisateurs de gestionnaires de mots de passe à des risques de vol de données, compromettant ainsi la confiance en… Lire la suite

Serveurs, API, temps de veille...
DCOD est indépendant et sans revenus. Soutenez le site pour l'aider à couvrir ses frais techniques.

☕ Contribuer aux frais
Etiquettes

Fondateur et éditeur de DCOD - Restons en contact !

A lire également

Des idées de lecture recommandées par DCOD

Page frontale du livre 100 Faits à Savoir sur la Cybersécurité

Les fondamentaux de la cybersécurité: Comprendre et appliquer les principes essentiels

À l’ère du numérique, la sécurité informatique est un enjeu crucial pour toute organisation.Sécurité des systèmes et des réseaux, du cloud, des applications, sécurité défensive et offensive, piratage psychologique…

📘 Voir sur Amazon
Ethical Hacking

Sécurité informatique - Ethical Hacking

Ce livre a pour objectif d'initier le lecteur aux techniques des attaquants pour lui apprendre comment se défendre. Cette nouvelle édition tient compte de l'actualité en matière de sécurité informatique et voit l'apparition de trois nouveaux chapitres qui traitent de la sécurité des mobiles, des voitures connectées et de l'étude des malwares.

📘 Voir sur Amazon

Le pirate informatique et l'État : cyberattaques et nouvelle normalité géopolitique (édition anglaise)

Riche en informations exclusives issues d'entretiens avec des acteurs clés de la défense et de la cybersécurité, de documents déclassifiés et d'analyses approfondies de rapports d'entreprises, « The Hacker and the State » explore la véritable compétition géopolitique de l'ère numérique et révèle des détails méconnus sur la manière dont la Chine, la Russie, la Corée du Nord, le Royaume-Uni et les États-Unis se piratent mutuellement dans une lutte acharnée pour la domination.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article proviennent de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur notre cadre d’utilisation.