CONTACTEZ NOUS au 09 70 711 711

4SYS SOLUTIONS4SYS SOLUTIONS

4SYS SOLUTIONS

Solutions informatiques d'entreprises

09 70 711 711
Email : contact@4sys.fr

4SYS SOLUTIONS
120 rue de Saint Cyr

Ouvrir dans Google Maps
  • SERVICES
  • SOCIETE
  • NOTRE FORCE
  • CLIENTS & PARTNENAIRES
  • BLOG
  • CONTACT
Support
Direct
  • Accueil
  • Blog
  • Cybersécurité
  • Faille de sécurité sur Keepass
3 juin 2023

Faille de sécurité sur Keepass

Faille de sécurité sur Keepass

par Sam Wahl / vendredi, 26 mai 2023 / Publié dans Cybersécurité, Données sensibles, Failles

Depuis quelques jours, une faille de sécurité sur le célèbre gestionnaire de mot de passe Keepass a été identifiée. Cette faille permet la récupération en clair du mot de passe maître (master password) du coffre-fort Keepass.

Qu’est-ce que Keepass ?
Keepass est l’un des gestionnaires de mots de passe le plus utilisé et apprécié du moment, notamment pour les vastes options et configurations qu’il propose. Sa popularité est aussi due à la certification CSPN (Certification de Sécurité de Premier Niveau) décernée par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information).

Mieux comprendre le gestionnaire de mot de passe
Un gestionnaire de mot de passe vous permet de stocker vos mots de passe dans un « coffre-fort ». Afin d’accéder au contenu de ce coffre, un mot de passe sécurisé* appelé « mot de passe maître » (ou master password en anglais) est demandé.
Opter pour un gestionnaire de mot de passe permet de concevoir des mots de passe sécurisés* et complexes sans avoir à les mémoriser. Cela évite aussi de noter ses mots de passe sur des supports non-sécurisés (post-it, carnet, fichier texte, classeur, etc…).

La faille de sécurité
La CVE-2023-32784, introduite par vdohney, affirme l’existence d’une faille de sécurité sur l’application Keepass sur tous les systèmes d’exploitation (Windows, Linux, MacOS).

Lorsqu’on renseigne son mot de passe maître, les caractères tapés s’inscrivent dans un type de fichier appelé memory dump. Ces caractères sont précédés d’une entrée personnalisée du nom de « SecureTextBoxEx ». Cela permet aux cybercriminels d’analyser le fichier dump afin de trouver ce texte et donc de lire en clair les caractères renseignés lors de l’inscription du mot de passe maître.
La récupération des données sensibles peut se produire même si l’application est verrouillée ou fermée.

Cependant, l’explotation de cette faille n’est possible qu’en local. De ce fait, seuls des ordinateurs verrolés par des malwares peuvent en être la cible. Nous vous recommandons tout de même de mettre à jour votre Keepass vers la version 2.54 minimum (disponible dans les prochains jours).

Si vous suspectez avoir été victime de cette faille, modifiez votre mot de passe maître et prenez contact avec votre prestataire informatique.

mot(s) de passe sécurisé(s)* : Il comprend des majuscules, des minuscules, des chiffres et des caractères spéciaux dans un ordre aléatoire. Une longueur d’un minimum de 12 caractères est recommandée.
Il est possible d’ignorer ces recommandations en optant pour une « phrase de passe ».

Étiqueté sous : CVE-2023-32784, faille, gestionnaire, gestionnaire de mot de passe, keepass

Articles récents

  • Faille de sécurité sur l’application de bureau 3CX

    Il y a une dizaine de jour, 3CX a été victime d...
  • Fuite de données | LastPass

    Un gestionnaire de mot de passe connu du grand ...
  • MFA Fatigue

    Avez-vous déjà entendu parler d'ingénierie soci...

Archives

  • mai 2023
  • avril 2023
  • janvier 2023
  • décembre 2022

Catégories

  • Cybersécurité
    • Failles
    • MFA
    • Phishing
  • Données sensibles
  • VoIP
4SYS SOLUTIONS

© 2015 All rights reserved. Buy Kallyas WordPress Theme.

HAUT