Quand Windows 10 pré installe un gestionnaire de mots de passe totalement vulnérable

Une faille dans l’extension de navigateur de Keeper permettait à n’importe quel site web de voler tous les mots de passe de l’utilisateur. Un correctif a depuis été diffusé.

Depuis l’arrivée de Windows 10, Microsoft a décidé de préinstaller des logiciels tiers dans son système d’exploitation sans vraiment demander l’avis de l’utilisateur. Avec Keeper, un gestionnaire de mots de passe, l’éditeur a fait une bien mauvaise pioche. Le logiciel est tombé entre les mains de Tavis Ormandy, le redoutable chercheur en sécurité de Google Project Zero. En deux temps trois mouvements, celui-ci trouve une faille de sécurité « triviale » qui permet à « n’importe quel site web de voler n’importe quel mot de passe » dans le gestionnaire.

Pour le prouver, l’expert a mis en ligne une page de démonstration capable de voler le mot de passe d’un compte Twitter. Pour cela, elle s’appuie sur un code Javascript qui va injecter du contenu dans un formulaire d’authentification, le valider puis utiliser une fonction de l’extension Keeper pour accéder au code secret.

L’éditeur a rapidement réagi en désactivant la fonction en question dans la dernière version de l’extension (11.4.4). Selon Keeper, la mise à jour a été diffusée automatiquement sur Edge, Chrome et Firefox. Les utilisateurs de Safari, en revanche, doivent procéder à une mise à jour manuelle. Selon l’éditeur, aucun utilisateur n’a, semble-t-il, été piraté au travers de cette faille.

Ce n’est pas la première fois que Tavis Ormandy épingle ce gestionnaire de mots de passe. En 2016, il avait déjà mis en lumière une faille tout à fait comparable dans son extension de navigateur. « Je n’ai changé que les sélecteurs et la même attaque fonctionne à nouveau », souligne-t-il. Ce qui n’est pas franchement rassurant.

Par le passe, le chercheur avait également détecté une série de failles critiques dans Lastpass, un autre gestionnaire de mots de passe. Pour sa part, il recommande l’usage du logiciel open source KeePass, qu’il estime comme étant « sécurisé ».

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *