Les Passwords Manager mobiles : nombreuses faiblesses de sécurité

Les Gestionnaires de Mots de Passe, aussi appelés Coffre-fort à Mots de passe sont très en vogue et de plus en plus adoptés au sein des entreprises et par des particuliers. Des solutions applicatives on-premise telles que KeePass, SaaS avec 1Password ou LastPass, mais aussi des solutions web opensource comme TeamPass permettent de sécuriser, et séquestrer tous vos sésames en les protégeant par un master password.

Bien évidemment, ces solutions sont compatibles cross-plateformes (Windows, Mac Linux) et ont également été portées sur les environnements mobiles tels que Android ou iOS.

Fin février 2017, une étude / analyse de la sécurité de 9 applications Password Manager sur Android est sortie, indiquant qu’un grand nombre de vulnérabilités existait sur ces solutions.

There are different policies for the generation of secure passwords. However, one of the biggest challenges is to memorize all these complex passwords. Password manager applications are a promising way of storing all sensitive passwords cryptographically secure. Accessing these passwords is only possible if the user enters a secret master password. At first sight, the requirements for a password manager application seem simple: Storing the passwords of a user centralized in a secure and confidential way. However, how is the reality on mobile, password manger applications, especially on Android? Applications vendors advertise their password manager applications as “bank-level” or “military-grade” secure. However, can users be sure that their secrets are actually stored securely? Despite the vendors’ claims, is it nevertheless possible to obtain access to the stored credentials?

Team-Sik, une équipe de chercheurs basée à Fraunhofer Institute for Secure Information Technology in Darmstadt en Allemagne s’est intéressée aux 9 password manager les plus téléchargés sur le PlayStore d’Android, et les résultats sont plutôt inquiétants…

Parmi l’ensemble des résultats et faiblesses de sécurité identifiées, on note plusieurs points communs entre certaines de ces applications :

  • La gestion des données privées par l’application (sur l’espace de stockage ou la mémoire vive) de l’équipement Android n’est pas suffisamment protégée
    • D’autres applications tierces peuvent dérober ces données sensibles
  • Les “master key” servant à dériver les données cryptographiques utilisées par l’application s’avèrent dans certains cas codée en dure, donc aisée à extraire.
  • Possibilité d’injecter des données dans les applications sans recourir à la clé maîtresse (création de fausses entrées par exemple)
  • Déblocage et utilisation des fonctionnalités Premium de ces apps, sans disposer d’une licence.
  • Contournement des procédures de secours telles que les questions de sécurité
  • Utilisation de l’auto-complétion des smartphones pour extraire des données
  • Etc.

We found that, for example, auto-fill functions for applications could be abused to steal the stored secrets from the password manager application using ‘hidden phishing’ attacks. For a better support of auto-filling password forms in web pages, some of the applications provide their own web browsers. These browsers are an additional source of vulnerabilities, such as privacy leakage

Les vulnérabilités identifées

Listes détaillée des vulnérabilités identifiées et leurs advisory respectifs :

MyPasswords (App-Link)

Informaticore Password Manager (App-Link)

LastPass Password Manager (App-Link)

Keeper Passwort-Manager (App-Link)

F-Secure KEY Password Manager (App-Link)

Dashlane Password Manager (App-Link)

Hide Pictures Keep Safe Vault (App-Link)

Avast Passwords (App-Link)

1Password – Password Manager (App-Link)

Le 01 mars 2017, toutes les vulnérabilités identifiées sont officiellement corrigées / mitigées par les éditeurs.

Les chercheurs à l’origine de ces analyses vont présenter leurs découvertes à la HITB conference le mois prochains. En attendant, il est particulièrement recommandé de mettre à jour les versions des Password Manager que vous employez sur vos terminaux Android.

Sources & ressources :

Yann

Consultant Sécurité