KeePass : autre gestionnaire de mots de passe, autre faille ?
KeePass abrite-t-il une faille ? L'équipe de développement reconnaît un risque, mais se refuse à parler de vulnérabilité.
Une faille dans KeePass ? L'équipe de développement s'en défend. Elle ne conteste pas l'existence d'un risque, mais se refuse à parler de vulnérabilité.
De quel risque parle-t-on ? Dans les grandes lignes, l'exfiltration, en clair, de la base de données - et donc des mots de passe enregistrés. Le vecteur : le fichier de configuration (XML) de KeePass.
Avec l'installation standard, un tiers disposant de droits en écriture sur le système cible peut modifier ce fichier. Par exemple en y injectant une règle d'export automatique de la base de données.
Par défaut, KeePass n'exige pas qu'on saisisse le mot de passe maître avant une telle opération d'export. Il dispose néanmoins de cette option... et d'une autre qui permet de bloquer l'export.
Lire aussi : Six enseignements clés sur les mots de passe tirés de la mise à jour du cadre de cybersécurité du NIST
Protéger Windows avant de protéger KeePass
Pourquoi un tel choix de la part des développeurs ? Il en va avant tout d'une question de commodité. « Pour la plupart des utilisateurs, l'installation par défaut est sûre si exécutée sur un environnement Windows correctement patché, géré et exploité », avance l'un d'entre eux.
De manière générale, le modèle de sécurité de KeePass est conçu pour une protection contre les tiers qui ont un accès en lecture. Illustration avec le chiffrement de la mémoire, les fonctions anti-keyloggers et l'isolation optionnelle de la saisie du mot de passe maître.
La base de données n'est, en revanche, pas conçue contre les tiers qui ont un accès en écriture, affirme-t-on chez KeePass. Une position tenue depuis des années : avec un tel niveau d'accès*, trop d'autres portes sont ouvertes pour récupérer les mots de passe et il faut d'abord penser à immuniser le système.
Le CERT-FR n'a pas émis d'avis de sécurité. Au contraire, entre autres, de ses homologues belge et néerlandais. La « faille », assortie d'un PoC, a un identifiant CVE, mais elle est bien signalée comme « contestée ».
Lire aussi : Sécurisation des identifiants et protection contre les attaques par déplacement latéral
* Sur Windows, le fichier se trouve dans un sous-dossier du répertoire utilisateur. Quiconque accède à ce dernier en écriture peut ajouter un malware dans les programmes au démarrage, modifier les raccourcis sur le Bureau, manipuler le registre, etc.
Photo d'illustration © ivanko80 - Adobe Stock
Sur le même thème
Voir tous les articles Cybersécurité