[màj] KeePass, une faille critique permettant de récupérer votre mot de passe maître a été découverte
Une faille critique découverte dans KeePass, mais pas de panique, la portée de cette faille est limitée dans la mesure où votre appareil doit être compromis.
Mise à jour du 16/06/2023 : bonne nouvelle, le patch correctif version 2.54 de cette vulnérabilité a été déployé le 03/06/2023, mettez à jour votre Keepass sans plus attendre :
Aucun logiciel n'est exempt de failles, et l'un des derniers exemples en date est le célèbre logiciel de gestion de mots de passe libre et open source, KeePass. Et c’est là que l’on se félicite de l’aspect open source ayant permis la découverte de ladite faille. C’est par le biais d’un chercheur qui a partagé sa découverte sur Github.
Une faille exploitable sous toutes les plateformes
Que vous soyez sous Windows, macOS ou Linux, vous êtes malheureusement concerné.
Ladite faille permet de récupérer le master password (mot de passe maître), le Graal de tous pirates et autres regards indiscrets, il s'agit là de la seule manière d’accéder à votre coffre et donc à tous vos mots de passe. Cela étant, si votre mot de passe maître ne comporte que très peu de caractère ou que votre mot de passe se trouve dans cette liste, votre hygiène informatique est déplorable, et ce mot de passe maître pourrait être déchiffré en quelques minutes, voire secondes par brute force.
La vulnérabilité en question permet donc de récupérer votre mot de passe principal en clair à partir d’un dump mémoire, c'est-à-dire un vidage mémoire de la RAM, et également avec un espace de travail verrouillé. Amis Linuxiens, vous êtes vous aussi concerné.
Notons que seul le premier caractère demeure invisible, tous les autres peuvent être récupérés en clair, autrement dit 99,9 % du job est fait pour faciliter la tâche d’un hacker. D’ailleurs, les pirates n’auraient aucune difficulté à trouver le premier caractère en quelques secondes.
Vous pouvez voir ci-dessous un exemple de l’exploitation de cette faille :
Comment s’en prémunir
Concrètement, si votre poste n’est pas compromis par un malware, il n’y a "quasiment" aucun risque, sauf si un pirate réussi à accéder physiquement à votre poste, là vous êtes dans la mouise. Si votre poste est sain, vous ne courez aucun risque, n’hésitez pas à scanner vos appareils à l’aide d’un antivirus au besoin.
Et sinon, je suis au regret de vous informer que « on va tous mourir », non je plaisante. Malheureusement, aucun correctif pour l’heure, mais l’équipe y travaille activement pour en fournir un cet été, dans le courant du mois de juillet à priori.
Vous pouvez également opter pour une clé de sécurité physique telle qu’une Yubikey selon les chercheurs en sécurité. Dans un tel cas, le mot de passe maître est conservé hors de la zone de texte, il ne se retrouvera donc pas dans la mémoire système.
Notez que la dernière version disponible, la version 2.53.1 est elle aussi vulnérable. Elle sera sans doute corrigée dans la future version 2.54.
Conclusion
Cela ne remet absolument pas en cause l'article dédié à KeePassXC (en haut de page) qui est lui aussi concerné en tant que fork de KeePass et est basé sur le code source de KeePass (original). Sans l’aspect open source, cette vulnérabilité serait sans doute rester inconnue des chercheurs et du public, offrant là un accès lucratif aux pirates aguerris.
Et comme toujours, restez vigilants sur vos clics, et ne cliquez pas sur tout et n’importe quoi et en particulier dans votre boîte mails, sms, etc.
Ressources :
Une erreur à signaler ou une suggestion ? Contact.