Pour gérer vos consentements :
Categories: Sécurité

Sécurité IT : les gestionnaires de mots de passe ont la mémoire fragile

Quand vous n’utilisez pas votre gestionnaire de mots de passe, fermez-le plutôt que de simplement le verrouiller.

Ce conseil émane d’ISE, société américaine de conseil en sécurité informatique. Il fait suite à des expérimentations menées sur Windows 10.

Quatre logiciels ont été mis à l’épreuve : 1Password (15 millions d’utilisateurs revendiqués), Dashlane (10 millions), KeePass (20 millions) et LastPass (16,5 millions).

Tous utilisent, d’après ISE, un mécanisme de chiffrement suffisamment robuste pour garantir la sécurité des mots de passe… aussi longtemps que le programme n’est pas en fonctionnement.

Trous de mémoire

Dès lors qu’ils sont en cours d’exécution, ça se complique. Illustration avec 1Password en version 4.6.2.626. Le mot de passe maître reste en mémoire aussi longtemps que le gestionnaire est déverrouillé… et n’est pas effacé lors du verrouillage. Il réside en mémoire sous une forme certes encodée, mais facilement déchiffrable.

La dernière version du logiciel (7.2.576 au moment des tests) est « encore moins sécurisée », selon ISE. Par rapport à la v4, qui conserve systématiquement un seul mot de passe en mémoire, elle déchiffre et met en cache l’ensemble des mots de passe lors du déverrouillage du gestionnaire. Lors du verrouillage, aucune information (y compris le mot de passe maître) n’est effacée. La seule solution sécurisée consiste à fermer le logiciel.

Dashlane (6.1843.0) conserve également un seul mot de passe en mémoire. Mais lorsque l’un d’entre eux est mis à jour, toute la base est exposée en mémoire, sans chiffrement. Et elle reste accessible même après verrouillage ou fermeture ; parfois pendant plus d’une journée, le temps que Windows libère les zones mémoire.

KeePass (2.40) et LastPass (4.1.59) présentent des vulnérabilités similaires.

Photo d’illustration © deepadesigns – Shutterstock.com

Recent Posts

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

1 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

1 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

2 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago

PC Copilot+ : Microsoft passe Recall en opt-in

Microsoft modifie la fonctionnalité de Recall sur les PC Copilot+ qui passe en opt-in. Reste…

4 mois ago