La promesse des gestionnaires de mots de passe qu’ils ne peuvent pas voir vos coffres-forts n’est pas toujours vraie<\/p>\n
Au cours des 15 derni\u00e8res ann\u00e9es, les gestionnaires de mots de passe sont pass\u00e9s d’un outil de s\u00e9curit\u00e9 de niche utilis\u00e9 par les technophiles \u00e0 un outil de s\u00e9curit\u00e9 indispensable pour les masses, avec environ 94 millions d’adultes am\u00e9ricains, soit environ 36 pour cent d’entre eux, qui les ont adopt\u00e9s. Ils stockent non seulement les mots de passe pour les comptes de pension, financiers et de messagerie, mais souvent aussi les identifiants de cryptomonnaie, les num\u00e9ros de cartes de paiement et d’autres donn\u00e9es sensibles.<\/p>\n
Les huit principaux gestionnaires de mots de passe ont tous adopt\u00e9 le terme connaissance z\u00e9ro pour d\u00e9crire le syst\u00e8me de cryptage complexe qu’ils utilisent pour prot\u00e9ger les coffres-forts de donn\u00e9es que les utilisateurs stockent sur leurs serveurs. Les d\u00e9finitions varient l\u00e9g\u00e8rement d’un fournisseur \u00e0 l’autre, mais elles se r\u00e9sument g\u00e9n\u00e9ralement \u00e0 une assurance audacieuse: il n’y a aucun moyen pour des initi\u00e9s malveillants ou des pirates informatiques qui parviennent \u00e0 compromettre l’infrastructure cloud de voler les coffres-forts ou les donn\u00e9es qui y sont stock\u00e9es. Ces promesses ont du sens, \u00e9tant donn\u00e9 les pr\u00e9c\u00e9dentes violations de LastPass et l’attente raisonnable que des pirates informatiques de niveau \u00e9tatique ont \u00e0 la fois le motif et la capacit\u00e9 d’obtenir des coffres-forts de mots de passe appartenant \u00e0 des cibles de grande valeur.<\/p>\n
Une assurance audacieuse d\u00e9mystifi\u00e9e<\/p>\n
Typiques de ces affirmations sont celles faites par Bitwarden, Dashlane et LastPass, qui ensemble sont utilis\u00e9s par environ 60 millions de personnes. Bitwarden, par exemple, dit que m\u00eame l’\u00e9quipe de Bitwarden ne peut pas lire vos donn\u00e9es, m\u00eame si nous le voulions. Dashlane, quant \u00e0 lui, affirme que sans le mot de passe principal d’un utilisateur, les acteurs malveillants ne peuvent pas voler les informations, m\u00eame si les serveurs de Dashlane sont compromis. LastPass dit que personne ne peut acc\u00e9der aux donn\u00e9es stock\u00e9es dans votre coffre-fort LastPass, sauf vous, m\u00eame pas LastPass.<\/p>\n
De nouvelles recherches montrent que ces affirmations ne sont pas vraies dans tous les cas, en particulier lorsque la r\u00e9cup\u00e9ration de compte est en place ou que les gestionnaires de mots de passe sont configur\u00e9s pour partager des coffres-forts ou organiser des utilisateurs en groupes. Les chercheurs ont effectu\u00e9 une r\u00e9tro-ing\u00e9nierie ou analys\u00e9 de pr\u00e8s Bitwarden, Dashlane et LastPass et ont identifi\u00e9 des moyens par lesquels quelqu’un ayant le contr\u00f4le du serveur, que ce soit administratif ou r\u00e9sultant d’une compromission, peut en fait voler des donn\u00e9es et, dans certains cas, des coffres-forts entiers. Les chercheurs ont \u00e9galement con\u00e7u d’autres attaques qui peuvent affaiblir le cryptage au point que le texte chiffr\u00e9 peut \u00eatre converti en texte brut.<\/p>\n
Les vuln\u00e9rabilit\u00e9s que nous d\u00e9crivons sont nombreuses mais pour la plupart pas profondes dans un sens technique, ont \u00e9crit les chercheurs de l’ETH Zurich et de l’USI Lugano. Pourtant, elles n’ont apparemment pas \u00e9t\u00e9 trouv\u00e9es auparavant, malgr\u00e9 plus d’une d\u00e9cennie de recherche universitaire sur les gestionnaires de mots de passe et l’existence de multiples audits des trois produits que nous avons \u00e9tudi\u00e9s. Cela motive des travaux suppl\u00e9mentaires, tant en th\u00e9orie qu’en pratique.<\/p>\n
Les chercheurs ont d\u00e9clar\u00e9 lors d’entretiens que plusieurs autres gestionnaires de mots de passe qu’ils n’ont pas analys\u00e9s aussi \u00e9troitement souffrent probablement des m\u00eames d\u00e9fauts. Le seul qu’ils \u00e9taient libres de nommer \u00e9tait 1Password. Presque tous les gestionnaires de mots de passe, ont-ils ajout\u00e9, sont vuln\u00e9rables aux attaques uniquement lorsque certaines fonctionnalit\u00e9s sont activ\u00e9es.<\/p>\n
Les plus graves des attaques, ciblant Bitwarden et LastPass, permettent \u00e0 un initi\u00e9 ou \u00e0 un attaquant de lire ou d’\u00e9crire le contenu de coffres-forts entiers. Dans certains cas, elles exploitent des faiblesses dans les m\u00e9canismes de s\u00e9questre de cl\u00e9s qui permettent aux utilisateurs de r\u00e9cup\u00e9rer l’acc\u00e8s \u00e0 leurs comptes lorsqu’ils perdent leur mot de passe principal. D’autres exploitent des faiblesses dans la prise en charge des versions h\u00e9rit\u00e9es du gestionnaire de mots de passe. Une attaque de vol de coffre-fort contre Dashlane permettait la lecture mais pas la modification des \u00e9l\u00e9ments du coffre-fort lorsqu’ils \u00e9taient partag\u00e9s avec d’autres utilisateurs.<\/p>\n
Mise en sc\u00e8ne du vieux changement de cl\u00e9<\/p>\n
L’une des attaques ciblant le s\u00e9questre de cl\u00e9s Bitwarden est effectu\u00e9e lors de l’inscription d’un nouveau membre d’une famille ou d’une organisation. Apr\u00e8s qu’un administrateur de groupe Bitwarden invite le nouveau membre, le client de l’invit\u00e9 acc\u00e8de \u00e0 un serveur et obtient une cl\u00e9 sym\u00e9trique de groupe et la cl\u00e9 publique du groupe. Le client crypte ensuite la cl\u00e9 sym\u00e9trique avec la cl\u00e9 publique du groupe et l’envoie au serveur. Le texte chiffr\u00e9 r\u00e9sultant est ce qui est utilis\u00e9 pour r\u00e9cup\u00e9rer le compte du nouvel utilisateur. Ces donn\u00e9es ne sont jamais v\u00e9rifi\u00e9es pour leur int\u00e9grit\u00e9 lorsqu’elles sont envoy\u00e9es du serveur au client lors d’une session d’inscription au compte.<\/p>\n
L’adversaire peut exploiter cette faiblesse en rempla\u00e7ant la cl\u00e9 publique du groupe par une provenant d’une paire de cl\u00e9s cr\u00e9\u00e9e par l’adversaire. Comme l’adversaire conna\u00eet la cl\u00e9 priv\u00e9e correspondante, il peut l’utiliser pour d\u00e9chiffrer le texte chiffr\u00e9 et continuer \u00e0 effectuer une r\u00e9cup\u00e9ration de compte au nom de l’utilisateur cibl\u00e9. Le r\u00e9sultat est que l’adversaire peut lire et modifier l’int\u00e9gralit\u00e9 du contenu du coffre-fort membre d\u00e8s qu’un invit\u00e9 accepte une invitation d’une famille ou d’une organisation.<\/p>\n
Normalement, cette attaque ne fonctionnerait que lorsqu’un administrateur de groupe a activ\u00e9 le mode de r\u00e9cup\u00e9ration automatique, qui, contrairement \u00e0 une option manuelle, ne n\u00e9cessite pas d’interaction du membre. Mais comme la politique de groupe que le client t\u00e9l\u00e9charge lors de la politique d’inscription n’est pas v\u00e9rifi\u00e9e pour son int\u00e9grit\u00e9, les adversaires peuvent d\u00e9finir la r\u00e9cup\u00e9ration sur automatique, m\u00eame si un administrateur avait choisi un mode manuel qui n\u00e9cessite une interaction de l’utilisateur.<\/p>\n
Aggravant la gravit\u00e9, l’adversaire dans cette attaque obtient \u00e9galement une cl\u00e9 sym\u00e9trique de groupe pour tous les autres groupes auxquels le membre appartient, car ces cl\u00e9s sont connues de tous les membres du groupe. Si l’un des groupes suppl\u00e9mentaires utilise la r\u00e9cup\u00e9ration de compte, l’adversaire peut \u00e9galement obtenir les coffres-forts du membre pour eux. Ce processus peut \u00eatre r\u00e9p\u00e9t\u00e9 \u00e0 la mani\u00e8re d’un ver, infectant toutes les organisations qui ont activ\u00e9 la r\u00e9cup\u00e9ration de cl\u00e9 et qui ont des membres qui se chevauchent, explique l’article de recherche.<\/p>\n
Une deuxi\u00e8me attaque ciblant la r\u00e9cup\u00e9ration de compte Bitwarden peut \u00eatre effectu\u00e9e lorsqu’un utilisateur effectue une rotation des cl\u00e9s de coffre-fort, une option que Bitwarden recommande si un utilisateur pense que son mot de passe principal a \u00e9t\u00e9 compromis. Lorsque la r\u00e9cup\u00e9ration de compte est activ\u00e9e, manuellement ou automatiquement, le client utilisateur r\u00e9g\u00e9n\u00e8re le texte chiffr\u00e9 de r\u00e9cup\u00e9ration, ce qui, comme d\u00e9crit pr\u00e9c\u00e9demment, implique d’obtenir une nouvelle cl\u00e9 publique qui est crypt\u00e9e avec la cl\u00e9 publique de l’organisation. Les chercheurs ont d\u00e9sign\u00e9 la cl\u00e9 publique du groupe comme pkorg. Ils d\u00e9signent la cl\u00e9 publique fournie par l’adversaire comme pkadvorg, le texte chiffr\u00e9 de r\u00e9cup\u00e9ration comme crec et la cl\u00e9 sym\u00e9trique utilisateur comme k’.<\/p>\n
L’article explique:<\/p>\n
Le point cl\u00e9 ici est que pkorg n’est pas r\u00e9cup\u00e9r\u00e9 \u00e0 partir du coffre-fort de l’utilisateur; au contraire, le client effectue une op\u00e9ration de synchronisation avec le serveur pour l’obtenir. De mani\u00e8re cruciale, les donn\u00e9es d’organisation fournies par cette op\u00e9ration de synchronisation ne sont en aucun cas authentifi\u00e9es. Cela fournit donc \u00e0 l’adversaire une autre occasion d’obtenir la cl\u00e9 utilisateur d’une victime, en fournissant une nouvelle cl\u00e9 publique pkadvorg, pour laquelle ils connaissent le skadvorg et en d\u00e9finissant l’inscription \u00e0 la r\u00e9cup\u00e9ration de compte sur vrai. Le client enverra alors un texte chiffr\u00e9 de r\u00e9cup\u00e9ration de compte crec contenant la nouvelle cl\u00e9 utilisateur, que l’adversaire peut d\u00e9chiffrer pour obtenir k’.<\/p>\n
La troisi\u00e8me attaque sur la r\u00e9cup\u00e9ration de compte Bitwarden permet \u00e0 un adversaire de r\u00e9cup\u00e9rer la cl\u00e9 principale d’un utilisateur. Elle abuse du connecteur de cl\u00e9, une fonctionnalit\u00e9 principalement utilis\u00e9e par les clients d’entreprise.<\/p>\n
Plus de moyens de piller les coffres-forts<\/p>\n
L’attaque permettant le vol de coffres-forts LastPass cible \u00e9galement le s\u00e9questre de cl\u00e9s, en particulier dans les versions Teams et Teams 5, lorsque la cl\u00e9 principale d’un membre est r\u00e9initialis\u00e9e par un utilisateur privil\u00e9gi\u00e9 connu sous le nom de superadmin. La prochaine fois que le membre se connecte via l’extension de navigateur LastPass, son client r\u00e9cup\u00e9rera une paire de cl\u00e9s RSA attribu\u00e9e \u00e0 chaque superadmin dans l’organisation, cryptera sa nouvelle cl\u00e9 avec chacune et enverra le texte chiffr\u00e9 r\u00e9sultant \u00e0 chaque superadmin.<\/p>\n
Comme LastPass ne parvient pas non plus \u00e0 authentifier les cl\u00e9s de superadmin, un adversaire peut \u00e0 nouveau remplacer la cl\u00e9 publique du superadmin (pkadm) par sa propre cl\u00e9 publique (pkadvadm).<\/p>\n
En th\u00e9orie, seuls les utilisateurs des \u00e9quipes o\u00f9 la r\u00e9initialisation de mot de passe est activ\u00e9e et qui sont s\u00e9lectionn\u00e9s pour la r\u00e9initialisation devraient \u00eatre affect\u00e9s par cette vuln\u00e9rabilit\u00e9, ont \u00e9crit les chercheurs. En pratique, cependant, les clients LastPass interrogent le serveur \u00e0 chaque connexion et r\u00e9cup\u00e8rent une liste de cl\u00e9s d’administrateur. Ils envoient ensuite les textes chiffr\u00e9s de r\u00e9cup\u00e9ration de compte ind\u00e9pendamment du statut d’inscription. L’attaque n\u00e9cessite cependant que l’utilisateur se connecte \u00e0 LastPass avec l’extension de navigateur, et non avec l’application cliente autonome.<\/p>\n
Plusieurs attaques permettent la lecture et la modification de coffres-forts partag\u00e9s, qui permettent \u00e0 un utilisateur de partager des \u00e9l\u00e9ments s\u00e9lectionn\u00e9s avec un ou plusieurs autres utilisateurs. Lorsque les utilisateurs de Dashlane partagent un \u00e9l\u00e9ment, leurs applications clientes \u00e9chantillonnent une nouvelle cl\u00e9 sym\u00e9trique, qui crypte directement l’\u00e9l\u00e9ment partag\u00e9 ou, lors du partage avec un groupe, crypte les cl\u00e9s de groupe, qui \u00e0 leur tour cryptent l’\u00e9l\u00e9ment partag\u00e9. Dans les deux cas, la ou les paires de cl\u00e9s RSA nouvellement cr\u00e9\u00e9es, appartenant soit \u00e0 l’utilisateur partag\u00e9, soit au groupe, ne sont pas authentifi\u00e9es. L’\u00e9l\u00e9ment est ensuite crypt\u00e9 avec la ou les cl\u00e9s priv\u00e9es.<\/p>\n
Un adversaire peut fournir sa propre paire de cl\u00e9s et utiliser la cl\u00e9 publique pour crypter le texte chiffr\u00e9 envoy\u00e9 aux destinataires. L’adversaire d\u00e9chiffre ensuite ce texte chiffr\u00e9 avec sa cl\u00e9 secr\u00e8te correspondante pour r\u00e9cup\u00e9rer la cl\u00e9 sym\u00e9trique partag\u00e9e. Avec cela, l’adversaire peut lire et modifier tous les \u00e9l\u00e9ments partag\u00e9s. Lorsque le partage est utilis\u00e9 dans Bitwarden ou LastPass, des attaques similaires sont possibles et conduisent \u00e0 la m\u00eame cons\u00e9quence.<\/p>\n
Une autre avenue pour les attaquants ou adversaires ayant le contr\u00f4le d’un serveur consiste \u00e0 cibler la r\u00e9trocompatibilit\u00e9 que tous les trois gestionnaires de mots de passe fournissent pour prendre en charge les versions plus anciennes et moins s\u00e9curis\u00e9es. Malgr\u00e9 les changements progressifs con\u00e7us pour renforcer les applications contre les attaques m\u00eames d\u00e9crites dans l’article, les trois gestionnaires de mots de passe continuent de prendre en charge les versions sans ces am\u00e9liorations. Cette r\u00e9trocompatibilit\u00e9 est une d\u00e9cision d\u00e9lib\u00e9r\u00e9e destin\u00e9e \u00e0 emp\u00eacher les utilisateurs qui n’ont pas mis \u00e0 jour de perdre l’acc\u00e8s \u00e0 leurs coffres-forts.<\/p>\n
La gravit\u00e9 de ces attaques est inf\u00e9rieure \u00e0 celle des pr\u00e9c\u00e9dentes d\u00e9crites, \u00e0 l’exception d’une, qui est possible contre Bitwarden. Les versions plus anciennes du gestionnaire de mots de passe utilisaient une seule cl\u00e9 sym\u00e9trique pour crypter et d\u00e9chiffrer la cl\u00e9 utilisateur du serveur et les \u00e9l\u00e9ments \u00e0 l’int\u00e9rieur des coffres-forts. Cette conception permettait la possibilit\u00e9 qu’un adversaire puisse falsifier le contenu. Pour ajouter des v\u00e9rifications d’int\u00e9grit\u00e9, les nouvelles versions fournissent un cryptage authentifi\u00e9 en augmentant la cl\u00e9 sym\u00e9trique avec une fonction de hachage HMAC.<\/p>\n
Pour prot\u00e9ger les clients utilisant des versions d’application plus anciennes, le texte chiffr\u00e9 Bitwarden a un attribut de 0 ou 1. Un 0 d\u00e9signe le cryptage authentifi\u00e9, tandis qu’un 1 prend en charge l’ancien sch\u00e9ma non authentifi\u00e9. Les versions plus anciennes utilisent \u00e9galement une hi\u00e9rarchie de cl\u00e9s que Bitwarden a d\u00e9pr\u00e9ci\u00e9e pour renforcer l’application. Pour prendre en charge l’ancienne hi\u00e9rarchie, les nouvelles versions client g\u00e9n\u00e8rent une nouvelle paire de cl\u00e9s RSA pour l’utilisateur si le serveur n’en fournit pas une. La nouvelle version proc\u00e9dera au cryptage de la partie cl\u00e9 secr\u00e8te avec la cl\u00e9 principale si aucun texte chiffr\u00e9 utilisateur n’est fourni par le serveur.<\/p>\n
Cette conception ouvre Bitwarden \u00e0 plusieurs attaques. La plus grave permet la lecture, mais pas la modification, de tous les \u00e9l\u00e9ments cr\u00e9\u00e9s apr\u00e8s l’ex\u00e9cution de l’attaque. \u00c0 un niveau simplifi\u00e9, cela fonctionne parce que l’adversaire peut falsifier le texte chiffr\u00e9 envoy\u00e9 par le serveur et amener le client \u00e0 l’utiliser pour d\u00e9river une cl\u00e9 utilisateur connue de l’adversaire.<\/p>\n
La modification provoque l’utilisation de CBC, cha\u00eenage de blocs de chiffrement, une forme de cryptage vuln\u00e9rable \u00e0 plusieurs attaques. Un adversaire peut exploiter cette forme plus faible en utilisant une attaque par oracle de remplissage et continuer \u00e0 r\u00e9cup\u00e9rer le texte brut du coffre-fort. Comme la protection HMAC reste intacte, la modification n’est pas possible.<\/p>\n
De mani\u00e8re surprenante, Dashlane \u00e9tait vuln\u00e9rable \u00e0 une attaque similaire par oracle de remplissage. Les chercheurs ont con\u00e7u une cha\u00eene d’attaque compliqu\u00e9e qui permettrait \u00e0 un serveur malveillant de r\u00e9trograder le coffre-fort d’un utilisateur Dashlane vers CBC et d’exfiltrer le contenu. Les chercheurs estiment que l’attaque n\u00e9cessiterait environ 125 pour d\u00e9chiffrer le texte chiffr\u00e9.<\/p>\n
D’autres attaques encore contre les trois gestionnaires de mots de passe permettent aux adversaires de r\u00e9duire consid\u00e9rablement le nombre s\u00e9lectionn\u00e9 d’it\u00e9rations de hachage, dans le cas de Bitwarden et LastPass<\/p>\n","protected":false},"excerpt":{"rendered":"
La promesse des gestionnaires de mots de passe qu’ils ne peuvent pas voir vos coffres-forts n’est pas toujours vraie Au cours des 15 derni\u00e8res ann\u00e9es, les gestionnaires de mots de passe sont pass\u00e9s d’un outil de s\u00e9curit\u00e9 de niche utilis\u00e9 par les technophiles \u00e0 un outil de s\u00e9curit\u00e9 indispensable pour les masses, avec environ 94<\/p>\n","protected":false},"author":3,"featured_media":661,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[77],"tags":[],"class_list":["post-660","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-securite"],"_links":{"self":[{"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/posts\/660","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/comments?post=660"}],"version-history":[{"count":0,"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/posts\/660\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/media\/661"}],"wp:attachment":[{"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/media?parent=660"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/categories?post=660"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/tags?post=660"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}