Quand vous n’utilisez pas votre gestionnaire de mots de passe, fermez-le plutôt que de simplement le verrouiller.
Ce conseil émane d’ISE, société américaine de conseil en sécurité informatique. Il fait suite à des expérimentations menées sur Windows 10.
Quatre logiciels ont été mis à l’épreuve : 1Password (15 millions d’utilisateurs revendiqués), Dashlane (10 millions), KeePass (20 millions) et LastPass (16,5 millions).
Tous utilisent, d’après ISE, un mécanisme de chiffrement suffisamment robuste pour garantir la sécurité des mots de passe… aussi longtemps que le programme n’est pas en fonctionnement.
Dès lors qu’ils sont en cours d’exécution, ça se complique. Illustration avec 1Password en version 4.6.2.626. Le mot de passe maître reste en mémoire aussi longtemps que le gestionnaire est déverrouillé… et n’est pas effacé lors du verrouillage. Il réside en mémoire sous une forme certes encodée, mais facilement déchiffrable.
La dernière version du logiciel (7.2.576 au moment des tests) est « encore moins sécurisée », selon ISE. Par rapport à la v4, qui conserve systématiquement un seul mot de passe en mémoire, elle déchiffre et met en cache l’ensemble des mots de passe lors du déverrouillage du gestionnaire. Lors du verrouillage, aucune information (y compris le mot de passe maître) n’est effacée. La seule solution sécurisée consiste à fermer le logiciel.
Dashlane (6.1843.0) conserve également un seul mot de passe en mémoire. Mais lorsque l’un d’entre eux est mis à jour, toute la base est exposée en mémoire, sans chiffrement. Et elle reste accessible même après verrouillage ou fermeture ; parfois pendant plus d’une journée, le temps que Windows libère les zones mémoire.
KeePass (2.40) et LastPass (4.1.59) présentent des vulnérabilités similaires.
Photo d’illustration © deepadesigns – Shutterstock.com
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…