Windows 10 : une faille dans le gestionnaire de mots de passe

Le par Mathieu M.  |  15 commentaire(s)
Photos Windows 10

Utiliser un gestionnaire de mots de passe est une bonne idée quand on souhait multiplier les comptes utilisateurs et mieux sécuriser ses accès. Mais quand Microsoft préinstalle une application qui présente des failles, la sécurité en prend un coup.

Avec l'arrivée de Windows 10, Microsoft a pris la mauvaise habitude de préinstaller certaines applications tierces. Dernière en date à faire parler d'elle : Keeper, un gestionnaire de mots de passe visant à sécuriser les accès de l'utilisateur tout en lui permettant de multiplier les logins et mots de passe sans avoir à systématiquement les retenir...

Keeper

Malheureusement, la solution miracle qui voulait protéger les utilisateurs s'avérait être une véritable passoire. Tavis Ormandy, chercheur en sécurité a analysé l'application et découvert une faille permettant à "n'importe quel site Web de voler n'importe quel mot de passe" grâce à l'extension de navigateur de Keeper.

Une page de démonstration a été mise en ligne pour prouver qu'il est facile de mettre rapidement en place un Javascript qui se chargera d'injecter du code dans le formulaire d'authentification de l'extension de Keeper dans le but d'accéder aux mots de passe.

Keeper a réagi en déployant une mise à jour qui corrige cette faille, la Maj a été diffusée automatiquement sur Edge, Chrome et Firefox, mais pas sur Safari qui nécessite une mise à jour manuelle.

  • Partager ce contenu :
Complément d'information

Vos commentaires Page 1 / 2

Trier par : date / pertinence
FRANCKYIV away Absent VIP icone 52576 points
Premium
Le #1992845
Ah ben j'ai justement vu ce Keeper y a pas longtemps sur le PC de quelqu'un (j'étais à la cherche d'une saloperie de logiciel qui pourrait faire ralentir le PC).

Et quand j'ai lancé le programme j'ai vu que c'était un gestionnaire de mot de passe, mais je ne savais pas qu'il était directement intégré dans Windows 10.
Misstigry offline Hors ligne VIP icone 5348 points
Le #1992851
FRANCKYIV a écrit :

Ah ben j'ai justement vu ce Keeper y a pas longtemps sur le PC de quelqu'un (j'étais à la cherche d'une saloperie de logiciel qui pourrait faire ralentir le PC).

Et quand j'ai lancé le programme j'ai vu que c'était un gestionnaire de mot de passe, mais je ne savais pas qu'il était directement intégré dans Windows 10.


C'est une extension pour Edge , mais elle n'a jamais été pré installée chez moi
FRANCKYIV away Absent VIP icone 52576 points
Premium
Le #1992853
Misstigry a écrit :

FRANCKYIV a écrit :

Ah ben j'ai justement vu ce Keeper y a pas longtemps sur le PC de quelqu'un (j'étais à la cherche d'une saloperie de logiciel qui pourrait faire ralentir le PC).

Et quand j'ai lancé le programme j'ai vu que c'était un gestionnaire de mot de passe, mais je ne savais pas qu'il était directement intégré dans Windows 10.


C'est une extension pour Edge , mais elle n'a jamais été pré installée chez moi


Ben vi il me semble ne pas l'avoir vu sur mon Windows 10 ... (je regarderai la prochaine fois que je reboot sous Windows).
syril offline Hors ligne Vétéran avatar 2392 points
Le #1992859
Pareil, jamais vu ni entendu parler avant cette info.
Dodge34 offline Hors ligne VIP icone 6027 points
Premium
Le #1992860
Moi je préfère LastPass, même si je suis conscient qu'aucune solution qui retiens les noms d'utilisateurs et les mots de passe n'est 100% sécuritaire et a l'abri de toute attaque, j'aime mieux laisser la gestion des mots de passe a cette application là, j'ai plusieurs comptes avec des mots de passe ultra sécuritaires que je n'ai pas besoin de retenir, et si je comprends le fonctionnement de LastPass, le contenu est crypté.
Junpei offline Hors ligne Vétéran icone 1071 points
Le #1992863
bitwarden est vraiment bien
skynet offline Hors ligne VIP icone 81026 points
Le #1992868
Dodge34 a écrit :

Moi je préfère LastPass, même si je suis conscient qu'aucune solution qui retiens les noms d'utilisateurs et les mots de passe n'est 100% sécuritaire et a l'abri de toute attaque, j'aime mieux laisser la gestion des mots de passe a cette application là, j'ai plusieurs comptes avec des mots de passe ultra sécuritaires que je n'ai pas besoin de retenir, et si je comprends le fonctionnement de LastPass, le contenu est crypté.


Essaye plutôt Keepass, qui garde la Bdd en local et qui est sévèrement chiffrée / salée.
Si t'as un Nas tu fais la synchro partout où tu veux ...

Avec Laspass, la Bdd est chez l'éditeur et donc soumis à leur politique de sécurité. Trop dangereux pour moi, la preuve avec cet article.
Le #1992874
Il y a aussi Endpass qui a une belle application universel pour Windows 10 (Mobile).
La synchro entre mes appareils fonctionne très bien

Le fait que personne n'en parle, ça me rassure pour la sécurité de mes login/pass

Plus c'est connu, plus c'est à éviter.

Dodge34 offline Hors ligne VIP icone 6027 points
Premium
Le #1992900
skynet a écrit :

Dodge34 a écrit :

Moi je préfère LastPass, même si je suis conscient qu'aucune solution qui retiens les noms d'utilisateurs et les mots de passe n'est 100% sécuritaire et a l'abri de toute attaque, j'aime mieux laisser la gestion des mots de passe a cette application là, j'ai plusieurs comptes avec des mots de passe ultra sécuritaires que je n'ai pas besoin de retenir, et si je comprends le fonctionnement de LastPass, le contenu est crypté.


Essaye plutôt Keepass, qui garde la Bdd en local et qui est sévèrement chiffrée / salée.
Si t'as un Nas tu fais la synchro partout où tu veux ...

Avec Laspass, la Bdd est chez l'éditeur et donc soumis à leur politique de sécurité. Trop dangereux pour moi, la preuve avec cet article.


J'ai essayé Keepass et justement yé là le problème, la base de données est en local seulement, j'en ai besoin partout avec mon laptop et mon smartphone sur android. De plus, j'ai tenté de convertir la base de Lastpass vers Keepass sans succès réel (pas question que je tape tout en manuel, hors de question, j'ai près de 2309 entrées différentes dans mon lastpass)
Anonyme
Le #1992911
Moi je préfère les gérer à l'ancienne mes mots de passe.
Un stylo un carnet et voilà.
icone Suivre les commentaires
Poster un commentaire