password-managers

L’actualité et les récents piratage de base de données sur des sites de références ne font que souligner le fait de complexifier les mots de passe. Définir des mots de passe d’une certaine taille, renouveler-les régulièrement, diversifier les caractères (minuscules, majuscules, symboles, chiffres…) ; toutes ces règles sont des bonnes pratiques qui, hélas, ne s’avèrent pas toujours respectées.

Les “Web Password Managers” sont des sites internet dédiés au stockage de vos mots de passe, permettant ainsi aux utilisateurs de définir des mots de passe complexes sans pour autant chercher à les retenir de tête. Les “Password Managers” sont là pour ça.

Beaucoup de solution existent, comme des outils à installer sur PC, Linux ou Mac (comme le très connu KeePass). Ces solutions permettent de transporter aisément votre “coffre-fort”  de mots de passe sur clé-USB, où de le garder sur un espace synchronisé dans le cloud tel DropBox ou GoogleDrive.

Une variante à ces outils graphiques à installer sur ses machines a mûri au cours des années : les “Web Password Managers”. Ces gestionnaires de mots de passe sont entièrement en ligne. Tous vos crédentiels y sont centralisés et sont accessibles via un simple accès à l’Internet. L’utilisateur n’a plus qu’à retenir un unique mot de passe maître pour accéder à toutes ses entrées.

Ce weekend, une étude poussée sur la sécurité globale de ces systèmes de gestion de mots de passe en ligne a été publiée, et il s’avère que ceux-ci ne sont pas pleinement sécuritaire.

Des chercheurs en sécurité ont passé au peigne fin les solutions online les plus utilisées :

Plusieurs vulnérabilités ont été décelées, plus ou moins critiques, au travers de scénarios d’utilisation et des plateformes en ligne, toutes permettant de corrompre et dérober les mots de passe d’un utilisateur.

Researchers have detailed a series of quickly patched vulnerabilities in five popular password managers that could allow attackers to steal user credentials.

“Critical” vulnerabilities were discovered and reported in LastPass, RoboForm, My1Login, PasswordBox and NeedMyPassword in work described by the University of California Berkeley researchers as a “wake-up call” for developers of web password vaults.

“Our attacks are severe: in four out of the five password managers we studied, an attacker can learn a user’s credentials for arbitrary websites,” Researchers Zhiwei Li, Warren He, Devdatta Akhawe, and Dawn Song wrote in the paper The Emperor’s New Password Manager: Security Analysis of Web-based Password Managers (PDF).

“We find vulnerabilities in diverse features like one-time passwords, bookmarklets, and shared passwords.

“The root-causes of the vulnerabilities are also diverse: ranging from logic and authorisation mistakes to misunderstandings about the web security model, in addition to the typical vulnerabilities like CSRF (cross site request forgery) and XSS (cross site scripting).”

The LastPass bookmarklet option which permitted ad-hoc integration with Safari on iOS was found vulnerable if users were tricked into running the Java code on an attackers’ site.

La gestion centralisée de mots de passe est une bonne alternative temporaire pour les entreprises soucieuses de leur sécurité globale et qui ne disposent pas encore d’une solution IAM / SSO. Des produits graphiques tel KeePass ou en ligne tel PassPack (non référencé dans cette étude) permettent une séquestration sécurisée et centralisée de ces crédentiels.

Toutefois, comme le montre cette étude, l’utilisation des services fleurissants et accessibles par quiconque peut s’avérer dangereux. Des vulnérabilités via les OTP, des CSRF, ou encore des XSS ont été découvertes. En attendant leur sécurisation complète et un retour de ces éditeurs vis-à-vis de cette étude, nous vous recommandons vivement de migrer vers une solution qui ne faisait pas parti des cibles de l’analyse.

La gestion centralisée des mots de passe est un bon début pour un projet de sécurité global d’entreprise ; toutefois la mise en place d’une solution de gestion des identités et d’authentification unique d’un éditeur reconnu est un choix plus judicieux à moyen/long termes pour ce type de projet et pour l’expérience utilisateur.

SYNETIS encourage les utilisateurs finaux et internautes à utiliser des solutions de gestion centralisée de mots de passe comme KeePass ou PassPack pour leurs besoins personnels ; et encourage vivement les entreprises à exploiter des solutions reconnues d’authentification centralisée et de gestion d’identités d’éditeurs certifiés telles que celles de nos partenaires comme ILEX, InWebo, Symantec, ForgeRock ou encore PingIdentity.

Sources & ressources :

Yann

Consultant Sécurité