Les protecteurs de mot de passe sont-ils sûrs? Liste de chaque infraction majeure

Si vous passez du temps sur Internet (et qui ne le fait pas de nos jours?), Alors vous avez probablement beaucoup de mots de passe.


Vous avez besoin d'un mot de passe chaque fois que vous vous connectez à vos comptes de médias sociaux, vérifiez le solde de votre compte bancaire ou commandez quelque chose sur Amazon. Si vous appartenez à un forum, gérez un site Web ou écrivez simplement un blog, vous avez encore plus de mots de passe.

nécessité de mot de passeIl est tentant d'utiliser le même mot de passe pour chacun de ces sites Web. Après tout, vous devez probablement vous connecter à des dizaines, voire des centaines de sites Web au cours d'une année normale. Si vous aviez un mot de passe unique et fort pour chacun de ces sites Web, comment pourriez-vous vous souvenir de tous?

Malheureusement, trop de gens choisissent la solution de facilité. Ils utilisent un mot de passe assez évident, dites "Password123,"Par exemple, puis l'utiliser pour toutes leurs activités en ligne. Pourquoi est-ce une si terrible idée? Car si un pirate parvient à obtenir votre mot de passe sur un seul compte, alors il a votre mot de passe pour tous vos comptes.

Peut-être que vous ne pensez pas que ce soit un problème particulièrement important si une partie infâme est en mesure de se connecter à votre profil Facebook, bien qu'elle puisse faire des ravages si cela se produit. Cependant, si ce mot de passe leur donne accès à vos informations bancaires, vos numéros de carte de crédit, votre numéro de sécurité sociale ou toute autre chose, alors vous vous en soucierez certainement.

Pourquoi les mots de passe forts sont essentiels

Ces dernières années, de nombreux sites Web ont commencé à établir des exigences pour des mots de passe de plus en plus longs et complexes. C'est difficile pour l'utilisateur de trouver et de se souvenir de ces mots de passe, mais il y a de bonnes raisons de le faire.

mot de passe fortPlus vos mots de passe sont complexes et aléatoires, plus ils sont difficiles à discerner par les pirates. Maintenant, imaginez que vous disposiez de dizaines de ces mots de passe, un pour chacun des sites Web que vous fréquentez. Ces pirates n'iront pas aussi loin lorsqu'ils devront trouver une chaîne complètement aléatoire de 12 lettres ou plus, de chiffres et de caractères spéciaux. Les problèmes ne sont multipliés que par votre utilisation de mots de passe uniques sur chacun de vos comptes en ligne.

Ce type de mot de passe est essentiel à votre sécurité en ligne. Une fois qu'un pirate a trouvé votre mot de passe trop simple, il peut l'utiliser lui-même ou le vendre pour de gros dollars sur le marché noir. Certains de ces acheteurs sont incroyablement sophistiqués. En quelques minutes, votre identité est volée, votre cote de crédit est saccagée et vous passerez des années et beaucoup d'argent à essayer de retrouver votre réputation.

Selon le MIT Technology Review, créer un mot de passe vraiment solide, c'est plus que d'utiliser une lettre majuscule, un chiffre et un caractère spécial. Plus votre mot de passe est long et plus il utilise de caractères spéciaux, plus vous risquez de tromper les pirates.

Les pirates ont un logiciel qui exécute continuellement et sans relâche des «suppositions» de mot de passe. Tôt ou tard, ils peuvent s'accrocher au vôtre. Cependant, si votre mot de passe est long, complexe et totalement aléatoire, alors les chances sont bonnes que le pirate va chercher des proies beaucoup plus faciles, qui est disponible en abondance.

Qu'est-ce qu'un gestionnaire de mots de passe?

Le problème est que se souvenir de tous ces mots de passe incroyablement longs, compliqués et uniques est une tâche herculéenne. Qui peut éventuellement les garder tous droits? C’est là que les gestionnaires de mots de passe interviennent.

comment fonctionne le gestionnaire de mots de passeLa plupart des gestionnaires de mots de passe sont conçus pour générer d'innombrables mots de passe aléatoires solides pour les utilisateurs individuels. Ils stockent ces mots de passe, puis les récupèrent lorsque vous visitez chaque site Web.

Il est également possible pour ces services de stocker vos numéros de carte de crédit, y compris le code CVV à trois chiffres au dos, ainsi que les codes PIN et vos réponses à diverses questions de sécurité. Toutes ces données sont cryptées dans le but de déjouer les pirates. Beaucoup de ces services utilisent le hachage, qui est essentiellement responsable de la conversion de données simples en chaînes de nombres ou de caractères d'une longueur prédéterminée.

Chaque fois que vous souhaitez visiter un site Web sur lequel vous devrez utiliser l'un de vos mots de passe, vous vous connectez au «coffre-fort» de données que vous avez précédemment stocké avec votre gestionnaire de mots de passe. L'accès est accordé via un mot de passe unique pour le service gestionnaire.

Cela semble assez pratique, mais il est essentiel de ne pas faire trop confiance aux gestionnaires de mots de passe. Ces services ne sont pas une solution miracle qui vous protégera de tout mal. Il est toujours sage d'utiliser un VPN comme NordVPN pour toute la navigation, authentification à deux facteurs pour certains comptes extrêmement précieux et pour utiliser uniquement des appareils auxquels vous faites confiance.

En fait, il serait peut-être judicieux de renoncer à utiliser un gestionnaire de mots de passe.

Pourquoi les gestionnaires de mots de passe peuvent être risqués

Les gestionnaires de mots de passe stockent toutes vos données sensibles localement ou sur un cloud. En conséquence, vos mots de passe se trouvent dans un coffre-fort sur un disque de stockage ou un ordinateur à votre domicile ou ils sont conservés à distance sur les serveurs du gestionnaire de mots de passe.

Acteurs de renom de l'industrie comme Dashlane1Mot de passe et Dernier passage utiliser leurs serveurs pour stocker vos informations privées par défaut. Cela vous permet de synchroniser plus facilement toutes les données stockées que vous pourriez avoir avec tous vos appareils..

piratage de mot de passeMaintenant, ces entreprises font beaucoup de promesses concernant leurs mesures de sécurité, mais cela ne met pas tous les consommateurs à l'aise. Imaginez simplement si toutes ces données incroyablement précieuses sur ce serveur unique étaient compromises par un piratage. Parce que vous avez mis tous vos œufs dans le même panier, vous venez de perdre le contrôle de votre vie en ligne.

La réalité est que peu de pirates peuvent résister à la tentation de dépasser les systèmes de sécurité avancés. Pensez à toutes les données inestimables qu'ils pourraient recueillir avec un seul hack. Parfois, la consolidation n'est pas une sage manœuvre.

Si vous n'aimez pas vraiment l'idée du stockage dans le cloud pour tous vos mots de passe, vous pouvez peut-être opter pour le stockage local à la place. Dashlane rend cela possible lorsque les clients choisissent de désactiver la fonction "Sync".

1Password permet aux clients d'acheter une licence logicielle qui leur permet de contrôler l'emplacement de leur coffre-fort. KeePass permet de stocker vos données dans un coffre-fort chiffré sur votre propre appareil.

Cependant, avant de vous lancer avec ces deux options, demandez-vous dans quelle mesure vos propres mesures de sécurité électronique sont sécurisées? Est-il possible qu'un pirate puisse passer à travers eux pour prendre tous vos mots de passe depuis votre propre appareil?

Les failles de sécurité que vous devez savoir

Les failles de sécurité répertoriées ne sont pas théoriques. Beaucoup d'entre eux se sont produits. Avant de décider si l'utilisation d'un gestionnaire de mots de passe vous convient ou non, tenez compte de ces violations.

La violation chez OneLogin

Le gestionnaire de mots de passe OneLogin a révélé en juin 2017 qu'il avait subi un piratage. L'incident largement rapporté touché tous les clients de l'entreprise dont les données étaient stockées dans le centre de données américain.

Dans un communiqué de presse, OneLogin a écrit: "Nous avons depuis bloqué cet accès non autorisé, signalé le problème aux forces de l'ordre et collaborons avec une société de sécurité indépendante pour déterminer comment cet accès non autorisé s'est produit."

LastPass signale une violation

Un autre piratage du gestionnaire de mots de passe plutôt tristement célèbre s'est produit sur LastPass. Cela a été signalé en avril 2017 et la société l'a décrit comme un problème «unique et hautement sophistiqué». L'implication est que LastPass utilise des techniques de chiffrement et des mesures de sécurité avancées telles que la situation est tout sauf impensable et ne pourrait pas se reproduire..

Le problème a été identifié par Tavis Ormandy, chercheur en sécurité pour le projet Zero de Google. Ormandy a décrit le problème comme étant de nature «architecturale», ajoutant que cela nécessiterait un temps considérable pour être traité..

Alors que LastPass a travaillé pour corriger la vulnérabilité, ils ont conseillé aux clients d'utiliser authentification à deux facteurs et pour éviter tous les liens suspects.

Cependant, ce n'est pas le seul événement que LastPass a subi. En juin 2015, la société a annoncé que leurs serveurs avaient subi une intrusion. LastPass a signalé qu'aucun mot de passe stocké n'a été volé et que le les pirates n'ont pas pris les adresses e-mail, les rappels de mot de passe ou les hachages d'authentification.

KeePass se fait pirater - en quelque sorte

La disponibilité d'un outil surnommé «KeeFarce» en 2015 a rendu les choses difficiles pour KeePass. Bien que cet outil de piratage ait été ciblé sur KeePass, il est possible que l'outil puisse être modifié pour cibler n'importe quel gestionnaire de mots de passe.

Essentiellement, cet outil a été conçu pour cibler les ordinateurs des utilisateurs, qui ne disposent généralement pas des fonctionnalités de sécurité robustes utilisées par les gestionnaires de mots de passe. L'outil était capable de décrypter tous les noms d'utilisateur et mots de passe que l'utilisateur avait stockés avec KeePass. Toutes les données ont ensuite été écrites dans un fichier auquel le pirate pourrait accéder.

Cet outil a été conçu pour mettre en évidence un problème rencontré par tous les gestionnaires de mots de passe.. Un ordinateur infecté est un ordinateur vulnérable. Quelle que soit la qualité d'un gestionnaire de mots de passe lorsque l'ordinateur de l'utilisateur est infecté par un virus ou un autre problème, la protection offerte par le gestionnaire est inévitablement compromise. Vous devez renforcer votre propre sécurité pour espérer bénéficier d'un gestionnaire de mots de passe.

Keeper attrape un bug

détection de boguesEn mai 2018, Keeper a annoncé avoir corrigé un bogue identifié par un chercheur en sécurité. Le chercheur a dit que le bogue peut avoir permis à des personnes non autorisées d'accéder aux données privées appartenant à un autre utilisateur.

Le bogue a été mis en évidence via une liste de divulgation pour la sécurité publique. Essentiellement, la liste indiquait que toute personne qui contrôlait le serveur API de l'entreprise pouvait théoriquement accéder à la clé de déchiffrement dans le coffre-fort des mots de passe appartenant à n'importe quel utilisateur. La source du problème était contenue avec Keeper Commander, un script propulsé par Python qui permet aux utilisateurs de faire pivoter les mots de passe.

Le bug du gardien a depuis été éliminé.

Les résultats de TeamSIK

En février 2017, des chercheurs travaillant à l'Institut Fraunhofer pour les technologies de l'information sécurisées ont rendu publics leurs résultats après un examen des neuf gestionnaires de mots de passe les plus fréquemment utilisés. Les résultats ont été tout sauf rassurants.

logo de l'équipe sikLes chercheurs, connus sous le nom de TeamSIK, ont qualifié leurs résultats de «extrêmement inquiétants». Ils ont même affirmé que ces sociétés «abusaient de la confiance des utilisateurs et les exposaient à des risques élevés».

Les gestionnaires de mots de passe inclus dans l'examen étaient 1Password, Avast Passwords, Hide Pictures Keep Safe Vault, Dashlane, F-Secure KEY, Keeper, LastPass, Informaticore Password Manager et My Passwords.

Chaque responsable de l'examen avait au moins une faille de sécurité. Les chercheurs ont informé chacune des entreprises de leurs résultats et les problèmes de mot ont été rapidement résolus. Pourtant, ne semble-t-il pas que chaque entreprise aurait dû réaliser et corriger ces problèmes sans avoir besoin d'une source extérieure pour les inciter à agir?

À la suite, les utilisateurs ont été encouragés à vérifier qu'ils étaient corrigés et à utiliser les dernières versions du logiciel de gestion des mots de passe afin qu'ils profitent pleinement des mesures de sécurité améliorées.

Voici quelques détails / rapports spécifiques. Pour des détails spécifiques, veuillez ouvrir chaque rapport.

MyPasswords 

  • Lire les données privées de l'application My Passwords
  • Décryptage du mot de passe principal de l'application Mes mots de passe
  • Déblocage gratuit des fonctionnalités Premium pour mes mots de passe

Gestionnaire de mots de passe Informaticore 

  • Stockage des informations d'identification non sécurisé dans Mirsoft Password Manager

LastPass Password Manager 

  • Clé principale codée en dur dans LastPass Password Manager
  • Confidentialité, fuite de données dans la recherche du navigateur LastPass
  • Lire la date privée (mot de passe principal stocké) depuis LastPass Password Manager

Keeper Passwort-Manager 

  • Contournement des questions de sécurité de Keeper Password Manager
  • Injection de données Keeper Password Manager sans mot de passe principal

Gestionnaire de mots de passe F-Secure KEY 

  • F-Secure KEY Password Manager Stockage des informations d'identification non sécurisé

Dashlane Password Manager 

  • Lire les données privées du dossier de l'application dans Dashlane Password Manager
  • Fuite d'informations dans la recherche Google dans le navigateur Dashlane Password Manager
  • Residue Attack Extracting Masterpassword depuis Dashlane Password Manager
  • Fuite de mot de passe de sous-domaine dans le navigateur interne de Dashlane Password Manager

Masquer les images Gardez Safe Vault 

  • Stockage de mot de passe SKeepsafe Plaintext

Mots de passe Avast 

  • Vol de mot de passe d'application depuis Avast Password Manager
  • Vol de mot de passe par le site Web usurpé d'Avast Password Manager
  • URL par défaut non sécurisées pour les sites populaires dans Avast Password Manager
  • Fuite de mot de passe de sous-domaine dans Avast Password Manager
  • Implémentation de communication sécurisée rompue dans Avast Password Manager
  • Test des URL internes dans Avast Password Manager

1Password - Gestionnaire de mots de passe 

  • Fuite de mot de passe de sous-domaine dans le navigateur interne 1Password
  • Https rétrograder vers l'URL http par défaut dans le navigateur interne 1Password
  • Titres et URL non cryptés dans la base de données 1Password
  • Lire les données privées du dossier de l'application dans 1Password Manager
  • Problème de confidentialité, informations divulguées au fournisseur 1Password Manager

Types de violations de la sécurité

La réalité est que tous les principaux gestionnaires de mots de passe ont eu de graves failles de sécurité à un moment ou à un autre. Même s'ils corrigent les problèmes au fur et à mesure qu'ils sont découverts, il semble que de nouveaux schémas soient toujours en cours. Ce sont quelques-unes des failles de sécurité auxquelles les gestionnaires de mots de passe sont vulnérables.

Hameçonnage - La plupart des gens ont entendu parler de schémas de phishing. Ils impliquent un e-mail ou un message texte prétendument envoyé par une entité ou un individu de bonne réputation. L'objectif est d'amener une victime sans méfiance à révéler des données sensibles comme les numéros de compte bancaire, les numéros de carte de crédit et les numéros de sécurité sociale dans le but de frauder le destinataire.

flux d'attaque de phishing

Le phishing a été utilisé pour frauder les clients du gestionnaire de mots de passe. Dans ce schéma, les clients sont invités à se connecter à un site Web en raison d'une session expirée. Lorsqu'ils le font, un site Web de phishing prêtant à confusion est en fait l'endroit où ils saisissent leurs données privées. L'utilisateur vient d'offrir volontairement son mot de passe secret à un pirate.

Falsification de demande intersite - Souvent appelé CSRF, ce programme incite les gens à prendre des mesures involontaires en ligne. Il est utilisé sur les utilisateurs authentifiés dans une application Web. La partie néfaste envoie souvent un lien par e-mail pour inciter la victime à transférer des fonds ou à prendre d'autres mesures potentiellement nuisibles.

Script intersite - Connue sous le nom de XSS, cette attaque implique l'introduction de code malveillant sur des sites Web connus et fiables.

Attaques par force brute - Cette faille de sécurité implique un logiciel automatisé qui essaie diverses combinaisons jusqu'à ce qu'il atteigne une mine d'or de données, comme le serveur de votre gestionnaire de mots de passe.

mot de passe automatiqueVulnérabilité liée à la fonction de remplissage automatique - L'utilisation de la fonction de remplissage automatique sur votre navigateur Web ou votre gestionnaire de mots de passe est tentante car elle semble tout faciliter. En réalité, vous ne faites que faciliter les choses à vos cybercriminels du monde entier. Il est même utilisé par les annonceurs.

Stockage du mot de passe principal en texte brut - Prouvant que les gestionnaires de mots de passe ne sont pas nécessairement les meilleurs gardiens de vos données sensibles, un projet de recherche a révélé que certains gestionnaires de mots de passe stockaient les mots de passe principaux des clients en texte brut sans aucun cryptage..

Code de l'application contenant des clés de chiffrement - En substance, le propre code de l'application expose les clés de chiffrement dans le code lui-même. C'est une journée de terrain pour les pirates informatiques lorsque cette vulnérabilité est découverte.

Presse-papiers reniflant ou détournant - Cette violation permet aux criminels de récupérer les informations d'identification qui ont été copiées dans la mémoire du PC afin qu'elles puissent être collées dans une interface pour la saisie du mot de passe.

Failles de navigateur Web intégrées - Certains gestionnaires de mots de passe sont également des navigateurs, dont l'utilisation est censée assurer la sécurité des clients en ligne. Cependant, avec un gestionnaire de mots de passe imparfait - ce qu'ils sont tous, la possibilité de défauts est multipliée.

Attaque de résidus de données - Les utilisateurs qui suppriment des applications de leurs appareils n'en suppriment pas nécessairement toutes les traces. Certains pirates attaquent le «résidu» qui reste derrière. Seules des mesures de sécurité vraiment solides empêchent réellement les criminels.

cyberattaques par des initiésPiratage d'initié - Ne présumez pas que vous êtes en sécurité simplement parce que vous utilisez un ordinateur d'entreprise. Certains hacks sont un travail interne perpétré par un collègue. C’est tout aussi vrai dans les bureaux des gestionnaires de mots de passe. Comment savez-vous que vous pouvez faire confiance aux employés de votre fournisseur?

Des fuites d'informations via la mémoire de swap - La plupart des ordinateurs ont une mémoire principale et un stockage secondaire. Chaque processus que l'ordinateur effectue obtient autant de mémoire qu'il le demande. Les processus actifs sont stockés dans la mémoire principale. Les processus dormants sont poussés vers le stockage secondaire. Lorsqu'un processus particulier commence à consommer des tonnes de mémoire, davantage d'éléments sont poussés vers le stockage secondaire. Les performances du système se détériorent et l'arrêt du processus qui fuit peut ne pas signifier que les processus qui ont été poussés vers le stockage secondaire sont immédiatement inversés. Tout ce qui a été externalisé vers le stockage secondaire peut être vulnérable aux attaques.

Que réserve l'avenir?

Comme indiqué, les neuf gestionnaires de mots de passe les plus connus ont depuis corrigé tous ces problèmes. Cependant, quels autres problèmes peuvent se cacher? Certaines des vulnérabilités découvertes par TeamSIK auraient dû être assez évidentes, mais aucune de ces sociétés n'en avait connaissance. Il a fallu un tiers indépendant pour découvrir ces problèmes et les mettre en lumière. Pouvez-vous vraiment faire confiance à un gestionnaire de mots de passe avec vos données les plus sensibles?

David Gewirtz Administrator
Sorry! The Author has not filled his profile.
follow me