Ces «coffres-forts» ne protègent pas vos données comme ils l'affirment
Des millions de personnes confient la protection de leurs données sensibles à des gestionnaires de mots de passe. Les fournisseurs promettent que les informations stockées dans le cloud sont chiffrées et en sécurité. Une équipe de recherche de l’Ecole polytechnique de Zurich (EPFZ) montre aujourd’hui que ces promesses publicitaires doivent être accueillies avec la plus grande prudence.
Où est le problème?
Lorsqu'on utilise régulièrement des services en ligne, on accumule rapidement entre 100 et 200 mots de passe, écrivait Samuel Schlaefli lundi dans les ETH News. Tous les mémoriser est pratiquement impossible. Des millions de personnes comptent donc sur l’aide d’un gestionnaire de mots de passe.
Derrière un mot de passe maître, tous les autres codes sont stockés dans ce qui est appelé un «coffre-fort». L’accès à des données sensibles, comme des comptes en banque ou des cartes de crédit, s’en trouve facilité. Professeur d’informatique Kenneth Paterson de l'EPFZ explique:
Les entreprises qui fournissent les gestionnaires de mots de passe promettent une sécurité absolue. Les données y seraient si bien chiffrées qu’eux-mêmes n’y auraient pas accès. Or, des chercheurs de l’EPFZ ont montré que ces données censées être cryptées n'était en réalité pas illisibles.
Comment cela est-il possible?
Matilda Backendal a mené l’étude avec Matteo Scarlata, Kenneth Paterson et Giovanni Torrisi du groupe de recherche en cryptographie appliquée de l’Institut pour la sécurité de l’information de l’EPFZ. Elle explique:
L’équipe de recherche a montré qu’il était possible d’attaquer les gestionnaires de mots de passe de trois fournisseurs populaires: Bitwarden, LastPass et Dashlane. Leurs services sont utilisés par soixante millions de personnes dans le monde. Kenneth Paterson indique:
L’équipe a accordé 90 jours aux fournisseurs des systèmes piratés pour corriger les vulnérabilités. Les fabricants se sont montrés coopératifs, même si tous n’ont pas avancé au même rythme pour combler leurs failles.
Que peut-on faire?
Lundi, les chercheurs ont présenté des propositions concrètes pour mieux protéger ces systèmes. Concrètement, les entreprises de développement devraient mettre à niveau, sur le plan cryptographique, les systèmes destinés aux nouveaux clients.
La clientèle existante pourrait ensuite choisir elle-même de migrer vers le nouveau système plus sûr et d’y transférer ses mots de passe ou de rester sur l’ancien système, en connaissance des failles de sécurité existantes.
En outre, les spécialistes de l’EPFZ recommandent de choisir un gestionnaire de mots de passe qui informe ouvertement des éventuelles failles de sécurité, soit soumis à des audits externes et active au moins par défaut le chiffrement de bout en bout.
Une entreprise se défend
Les développeurs du gestionnaire de mots de passe open source Bitwarden ont finalement réagi à l’étude de l’EPFZ par un billet de blog. Ils soulignent notamment les avantages des solutions open source. Une «architecture open source digne de confiance» permet, selon eux, justement des audits de sécurité par des tiers. Et l'entreprise dit:
(dsc)