Accueil Hacking News La vulnérabilité de KeePass pourrait exposer le mot de passe principal en...

La vulnérabilité de KeePass pourrait exposer le mot de passe principal en clair

114
0

Le populaire gestionnaire de mots de passe présentait une grave faille de sécurité exposant les mots de passe principaux des utilisateurs en clair. Suite au rapport de bogue, le service a corrigé la faille dans la version suivante de KeePass, ainsi que de nombreuses autres mises à jour de fonctionnalités.

La vulnérabilité de KeePass pourrait divulguer les mots de passe principaux

Un chercheur en sécurité, alias “vdohney”, a découvert un grave problème de sécurité affectant le gestionnaire de mots de passe KeePass. Plus précisément, l'exploitation de la vulnérabilité pourrait permettre à un adversaire d'accéder aux mots de passe principaux de KeePass en texte clair.

Comme l'explique le rapport de bogue du chercheur, les paramètres par défaut de KeePass pourraient permettre à un utilisateur d'extraire le mot de passe principal du vidage de la mémoire du processus. L'exécution de cette activité ne nécessitait pas l'exécution de code, et ne recevait aucun impact de la source de mémoire.

Étant donné un dump de mémoire de processus, je suis capable de reconstruire le mot de passe principal. Peu importe que l'espace de travail soit verrouillé ou non, cela fonctionne quand même. La source de la mémoire n'est pas non plus importante – par exemple, il peut s'agir d'un pagefile (swap) ou du fichier d'hibernation. Aucune exécution de code n'est nécessaire, la mémoire seule suffit.

De plus, la faille de sécurité resterait présente même après avoir verrouillé l'espace de travail. Le chercheur a noté ce phénomène comme une violation de l'affirmation de KeePass selon laquelle il faut fermer le fichier de base de données après avoir verrouillé l'espace de travail.

Lire aussi :  Le malware Android Goldoson cible les utilisateurs coréens via des applications légales

Plus précisément, le problème concernait la classe SecureTextBoxEx. Après qu'un utilisateur ait tapé le mot de passe principal de KeePass, l'outil exposait les caractères du mot de passe principal dans les chaînes de caractères restantes.

Parallèlement au partage des détails dans le rapport, le chercheur a également démontré la faille (CVE-2023-32784) dans la preuve de concept partagée sur GitHub.

KeePass a corrigé la faille

Bien que la vulnérabilité semble grave, il est intéressant de noter qu'elle n'affecte pas les mots de passe lorsqu'ils sont collés à partir du presse-papiers. Au lieu de cela, elle ne fonctionnait qu'avec les mots de passe tapés manuellement. (Cependant, copier des mots de passe et les laisser dans le presse-papiers est une autre mauvaise pratique de sécurité). De plus, la vulnérabilité n'exposait pas le premier caractère du mot de passe principal, mais seulement les caractères suivants.

Néanmoins, pour éliminer tout risque de sécurité, Dominik Reichl, créateur et développeur de KeePass, a réglé le problème avec la dernière version. Comme il l'explique dans sa réponse à vdohney, KeePass utilise désormais les fonctions de l'API Windows pour “obtenir/régler le texte de la zone de texte” au lieu de créer des chaînes gérées. De plus, l'outil crée maintenant des fragments factices dans la mémoire du processus pour empêcher la détermination des fragments corrects.

Lire aussi :  Kevin Mitnick meurt : Le parcours du légendaire pirate informatique

Les développeurs ont publié ces correctifs avec la version 2.54 de KeePass. Outre cette correction de bogue, la nouvelle version du gestionnaire de mots de passe comprend plusieurs améliorations et mises à jour de fonctionnalités.

Parmi les changements notables, on peut citer le stockage des déclencheurs, des dérogations globales aux URL, des profils de générateurs de mots de passe et d'autres paramètres dans le fichier de configuration renforcé, l'ajout d'une boîte de dialogue avec le paramètre “Enforce Options”, et l'amélioration des boîtes de dialogue de confirmation d'exportation.

Maintenant que le PoC sur la vulnérabilité et le correctif correspondant sont arrivés publiquement, tous les utilisateurs de KeePass doivent immédiatement mettre à jour leurs appareils avec les dernières versions de KeePass pour rester à l'abri des attaques potentielles.

Fais-nous part de tes réflexions dans les commentaires.

Article précédentLes entreprises britanniques adoptent l’identité numérique
Article suivantNouvelles de l’IdO – Perspectives de l’IdO