KeePass : autre gestionnaire de mots de passe, autre faille ?

Clément Bohic,
Linkedin
KeePass faille

KeePass abrite-t-il une faille ? L’équipe de développement reconnaît un risque, mais se refuse à parler de vulnérabilité.

Une faille dans KeePass ? L’équipe de développement s’en défend. Elle ne conteste pas l’existence d’un risque, mais se refuse à parler de vulnérabilité.

De quel risque parle-t-on ? Dans les grandes lignes, l’exfiltration, en clair, de la base de données – et donc des mots de passe enregistrés. Le vecteur : le fichier de configuration (XML) de KeePass.
Avec l’installation standard, un tiers disposant de droits en écriture sur le système cible peut modifier ce fichier. Par exemple en y injectant une règle d’export automatique de la base de données.

Par défaut, KeePass n’exige pas qu’on saisisse le mot de passe maître avant une telle opération d’export. Il dispose néanmoins de cette option… et d’une autre qui permet de bloquer l’export.

Protéger Windows avant de protéger KeePass

Pourquoi un tel choix de la part des développeurs ? Il en va avant tout d’une question de commodité. « Pour la plupart des utilisateurs, l’installation par défaut est sûre si exécutée sur un environnement Windows correctement patché, géré et exploité », avance l’un d’entre eux.

De manière générale, le modèle de sécurité de KeePass est conçu pour une protection contre les tiers qui ont un accès en lecture. Illustration avec le chiffrement de la mémoire, les fonctions anti-keyloggers et l’isolation optionnelle de la saisie du mot de passe maître.

La base de données n’est, en revanche, pas conçue contre les tiers qui ont un accès en écriture, affirme-t-on chez KeePass. Une position tenue depuis des années : avec un tel niveau d’accès*, trop d’autres portes sont ouvertes pour récupérer les mots de passe et il faut d’abord penser à immuniser le système.

Le CERT-FR n’a pas émis d’avis de sécurité. Au contraire, entre autres, de ses homologues belge et néerlandais. La « faille », assortie d’un PoC, a un identifiant CVE, mais elle est bien signalée comme « contestée ».

* Sur Windows, le fichier se trouve dans un sous-dossier du répertoire utilisateur. Quiconque accède à ce dernier en écriture peut ajouter un malware dans les programmes au démarrage, modifier les raccourcis sur le Bureau, manipuler le registre, etc.

Photo d’illustration © ivanko80 – Adobe Stock