Depuis quelques jours, une faille de sécurité sur le célèbre gestionnaire de mot de passe Keepass a été identifiée. Cette faille permet la récupération en clair du mot de passe maître (master password) du coffre-fort Keepass.
Qu’est-ce que Keepass ?
Keepass est l’un des gestionnaires de mots de passe le plus utilisé et apprécié du moment, notamment pour les vastes options et configurations qu’il propose. Sa popularité est aussi due à la certification CSPN (Certification de Sécurité de Premier Niveau) décernée par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information).
Mieux comprendre le gestionnaire de mot de passe
Un gestionnaire de mot de passe vous permet de stocker vos mots de passe dans un « coffre-fort ». Afin d’accéder au contenu de ce coffre, un mot de passe sécurisé* appelé « mot de passe maître » (ou master password en anglais) est demandé.
Opter pour un gestionnaire de mot de passe permet de concevoir des mots de passe sécurisés* et complexes sans avoir à les mémoriser. Cela évite aussi de noter ses mots de passe sur des supports non-sécurisés (post-it, carnet, fichier texte, classeur, etc…).
La faille de sécurité
La CVE-2023-32784, introduite par vdohney, affirme l’existence d’une faille de sécurité sur l’application Keepass sur tous les systèmes d’exploitation (Windows, Linux, MacOS).
Lorsqu’on renseigne son mot de passe maître, les caractères tapés s’inscrivent dans un type de fichier appelé memory dump. Ces caractères sont précédés d’une entrée personnalisée du nom de « SecureTextBoxEx ». Cela permet aux cybercriminels d’analyser le fichier dump afin de trouver ce texte et donc de lire en clair les caractères renseignés lors de l’inscription du mot de passe maître.
La récupération des données sensibles peut se produire même si l’application est verrouillée ou fermée.
Cependant, l’explotation de cette faille n’est possible qu’en local. De ce fait, seuls des ordinateurs verrolés par des malwares peuvent en être la cible. Nous vous recommandons tout de même de mettre à jour votre Keepass vers la version 2.54 minimum (disponible dans les prochains jours).
Si vous suspectez avoir été victime de cette faille, modifiez votre mot de passe maître et prenez contact avec votre prestataire informatique.
mot(s) de passe sécurisé(s)* : Il comprend des majuscules, des minuscules, des chiffres et des caractères spéciaux dans un ordre aléatoire. Une longueur d’un minimum de 12 caractères est recommandée.
Il est possible d’ignorer ces recommandations en optant pour une « phrase de passe ».