Pour gérer vos consentements :
Categories: Cybersécurité

KeePass : autre gestionnaire de mots de passe, autre faille ?

Une faille dans KeePass ? L’équipe de développement s’en défend. Elle ne conteste pas l’existence d’un risque, mais se refuse à parler de vulnérabilité.

De quel risque parle-t-on ? Dans les grandes lignes, l’exfiltration, en clair, de la base de données – et donc des mots de passe enregistrés. Le vecteur : le fichier de configuration (XML) de KeePass.
Avec l’installation standard, un tiers disposant de droits en écriture sur le système cible peut modifier ce fichier. Par exemple en y injectant une règle d’export automatique de la base de données.

Par défaut, KeePass n’exige pas qu’on saisisse le mot de passe maître avant une telle opération d’export. Il dispose néanmoins de cette option… et d’une autre qui permet de bloquer l’export.

Protéger Windows avant de protéger KeePass

Pourquoi un tel choix de la part des développeurs ? Il en va avant tout d’une question de commodité. « Pour la plupart des utilisateurs, l’installation par défaut est sûre si exécutée sur un environnement Windows correctement patché, géré et exploité », avance l’un d’entre eux.

De manière générale, le modèle de sécurité de KeePass est conçu pour une protection contre les tiers qui ont un accès en lecture. Illustration avec le chiffrement de la mémoire, les fonctions anti-keyloggers et l’isolation optionnelle de la saisie du mot de passe maître.

La base de données n’est, en revanche, pas conçue contre les tiers qui ont un accès en écriture, affirme-t-on chez KeePass. Une position tenue depuis des années : avec un tel niveau d’accès*, trop d’autres portes sont ouvertes pour récupérer les mots de passe et il faut d’abord penser à immuniser le système.

Le CERT-FR n’a pas émis d’avis de sécurité. Au contraire, entre autres, de ses homologues belge et néerlandais. La « faille », assortie d’un PoC, a un identifiant CVE, mais elle est bien signalée comme « contestée ».

* Sur Windows, le fichier se trouve dans un sous-dossier du répertoire utilisateur. Quiconque accède à ce dernier en écriture peut ajouter un malware dans les programmes au démarrage, modifier les raccourcis sur le Bureau, manipuler le registre, etc.

Photo d’illustration © ivanko80 – Adobe Stock

Recent Posts

Étude Trends of IT 2024 : comprendre les mutations de l’environnement IT

Silicon et KPMG lancent Trends of IT 2024, une étude co-construite avec les managers IT…

8 heures ago

Guillaume Poupard, DGA de Docaposte : « Le plus de l’offre, c’est notre position comme acteur de confiance »

Avec son Pack cybersécurité lancé au Forum InCyber 2024, Docaposte tend une perche aux PME.…

9 heures ago

Quels impacts de l’IA générative sur le monde de la cybersécurité ? : regards croisés entre Onepoint, Wavestone et Fortinet

Quels sont les impacts immédiats de l'IA générative sur la cybersécurité ? Comment le contexte…

12 heures ago

Des serveurs IA cyberattaqués : le vecteur s’appelle Ray

Un éditeur attire l'attention sur des attaques exploitant l'absence d'autorisation dans une API du framework…

16 heures ago

Amazon débloque la deuxième tranche de son investissement dans Anthropic

Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…

18 heures ago

Les logiciels libres entrés au SILL au premier trimestre 2024

D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).

1 jour ago