Sécurité IT : les gestionnaires de mots de passe ont la mémoire fragile

Quand vous n’utilisez pas votre gestionnaire de mots de passe, fermez-le plutôt que de simplement le verrouiller.

Ce conseil émane d’ISE, société américaine de conseil en sécurité informatique. Il fait suite à des expérimentations menées sur Windows 10.

Quatre logiciels ont été mis à l’épreuve : 1Password (15 millions d’utilisateurs revendiqués), Dashlane (10 millions), KeePass (20 millions) et LastPass (16,5 millions).

Tous utilisent, d’après ISE, un mécanisme de chiffrement suffisamment robuste pour garantir la sécurité des mots de passe… aussi longtemps que le programme n’est pas en fonctionnement.

Trous de mémoire

Dès lors qu’ils sont en cours d’exécution, ça se complique. Illustration avec 1Password en version 4.6.2.626. Le mot de passe maître reste en mémoire aussi longtemps que le gestionnaire est déverrouillé… et n’est pas effacé lors du verrouillage. Il réside en mémoire sous une forme certes encodée, mais facilement déchiffrable.

La dernière version du logiciel (7.2.576 au moment des tests) est « encore moins sécurisée », selon ISE. Par rapport à la v4, qui conserve systématiquement un seul mot de passe en mémoire, elle déchiffre et met en cache l’ensemble des mots de passe lors du déverrouillage du gestionnaire. Lors du verrouillage, aucune information (y compris le mot de passe maître) n’est effacée. La seule solution sécurisée consiste à fermer le logiciel.

Dashlane (6.1843.0) conserve également un seul mot de passe en mémoire. Mais lorsque l’un d’entre eux est mis à jour, toute la base est exposée en mémoire, sans chiffrement. Et elle reste accessible même après verrouillage ou fermeture ; parfois pendant plus d’une journée, le temps que Windows libère les zones mémoire.

KeePass (2.40) et LastPass (4.1.59) présentent des vulnérabilités similaires.

Photo d’illustration © deepadesigns – Shutterstock.com