Après plusieurs compromissions de l’outil de gestion de mots de passe partagés LastPass, c’est au tour du célèbre gestionnaire de mots de passe KeePass d’être sous les feux des projecteurs suite à la découverte d’une vulnérabilité critique qui permet de récupérer tous les mots de passe de votre coffre-fort sans connaissance du master password !
Vous utilisez Keepass comme solution de coffre-fort de mot de passe?
Toutes les versions 2.5x du logiciel sont affectées, il est donc indispensable de mettre à jour le vôtre vers la toute dernière version patchée 2.53.1 (nouvelle 2.53 sur le site keepass.info) dès que possible.
La raison : Un attaquant peut exporter les mots de passe en clair (à découvrir dans cet article disponible sur le site it-connect.fr)
Pour les détails techniques : rendez-vous ici (site cve.mitre.org)
Nos conseils
Pour rappel, l’utilisation d’un gestionnaire de mots de passe est conseillée pour prévenir
- le stockage non sécurisé
- les mots de passe faibles
- la perte de ceux-ci
Chez KAIZEN Solutions, chaque collaborateur peut avoir un compte Dashlane Pro sur demande à l’IT. D'autant plus que pour éviter les mésaventures connues par les logiciels précités, une veille sur les failles mais également des compromissions et mots de passe sur le darknet est assurée par l'équipe IT.
Important
Néanmoins, l’utilisation d’un gestionnaire de mots de passe seule n’est pas suffisante pour garantir la sécurité de vos codes d’accès ! Il est important de l’accompagner de quelques pratiques essentielles :
- Votre coffre-fort de mots de passe est protégé par un « mot de passe maître ». L’accès à TOUS vos mots de passe dépend UNIQUEMENT de ce paramètre, alors METTEZ LA DOSE DE SÉCURITÉ de ce côté-là : minuscules, majuscules, chiffres, caractères spéciaux et au moins 13 caractères.
C’est contraignant, mais c’est désormais le seul mot de passe que vous aurez à retenir.
Le logiciel KeePass par exemple vous informe en temps réel de la valeur de l’entropie (niveau d’aléatoire) de votre mot de passe. En 2023, on considère qu’un secret est sécurisé d’un point de vue cryptographique lorsqu’il possède une entropie d’environ 80 bits.
- Ajouter éventuellement un deuxième facteur d'authentification (MFA) : téléphone, YubiKey, …
- ⚠ ATTENTION ⚠ Si vous perdez votre mot de passe maître, vous perdez l’accès à vos mots de passe ! Si vous choisissez de sauvegarder votre mot de passe maître quelque part, choisissez un lieu approprié :
- Sur un support technologique (pas forcément numérique, les puristes peuvent remonter jusqu’aux bandes magnétiques s’ils le veulent 😂) DIFFÉRENT de celui où se trouve votre gestionnaire de mots de passe (autre ordinateur, support externe…), éventuellement chiffré (= nouveau mot de passe à sécuriser) et idéalement inaccessible en réseau. Attention toutefois à la durée de vie des supports externes…
- Sur un cloud, à condition de mémoriser les identifiants pour y parvenir, et d’avoir confiance en sa disponibilité, sa sécurité et en la légitimité du fournisseur.
- Prenez les précautions nécessaires lors du choix de votre coffre-fort numérique :
- Renseignez-vous sur les logiciels déjà/régulièrement sujets à des failles de sécurité.
- Portez une attention à l’éditeur/le propriétaire (qui indique souvent la qualité du développement et du support qui va avec).
- Sachez si des sauvegardes sont conservées par l’éditeur, où elles se trouvent, et comment elles sont protégées.
- Une fois le choix effectué, téléchargez le logiciel depuis le site officiel de l’éditeur et si possible, vérifiez la signature numérique du fichier (SHA256 par exemple).
En bref, les vulnérabilités concernant ce genre d’outils sont une mine d’or pour un pirate puisque la compromission des informations protégées mène non-seulement à la compromission de tous vos comptes personnels, mais aussi par voie de conséquence à des problèmes autrement plus graves comme la collecte de vos données personnelles, qui peuvent ensuite être exploitées pour des campagnes de phishing ou pour de l’usurpation d’identité, et évidemment à vos accès bancaires, ce qui, soit dit en passant, peut également être évité grâce à l’authentification multi-facteurs (MFA)
Retour aux articles