Selon Bleeping Computer , une faille de sécurité récemment découverte dans l'application KeePass pourrait permettre à des attaquants de récupérer les mots de passe principaux en clair, même si la base de données est verrouillée ou que le programme est fermé. Un correctif pour cette vulnérabilité critique ne sera pas disponible avant début juin au plus tôt.
Un chercheur en sécurité a signalé la vulnérabilité et publié une preuve de concept d'exploitation permettant à un attaquant d'extraire le mot de passe principal en clair, même si la base de données KeePass est fermée, le programme verrouillé ou même fermé. Lors de la récupération en mémoire, les un ou deux premiers caractères du mot de passe sont manquants, mais la chaîne complète peut ensuite être devinée.
L'exploit a été conçu pour Windows, mais Linux et macOS seraient également vulnérables car la faille se situe au niveau de KeePass et non du système d'exploitation. Pour exploiter cette vulnérabilité, un attaquant devrait avoir accès à un ordinateur distant (via un logiciel malveillant) ou directement à la machine de la victime.
D'après les experts en sécurité, toutes les versions de KeePass 2.x sont concernées. En revanche, KeePass 1.x, KeePassXC et Strongbox – d'autres gestionnaires de mots de passe compatibles avec les fichiers de base de données KeePass – ne sont pas affectés.
Le correctif sera inclus dans la version 2.54 de KeePass, qui pourrait être publiée début juin.
Une nouvelle faille de sécurité met KeePass en danger, aucun correctif n'étant encore disponible.
Il existe désormais une version bêta instable de KeePass avec des mesures d'atténuation en place, mais un rapport de Bleeping Computer indique que le chercheur en sécurité n'a pas été en mesure de reproduire le vol de mot de passe à partir de la vulnérabilité.
Cependant, même après la mise à jour de KeePass vers une version corrigée, les mots de passe restent visibles dans les fichiers mémoire du programme. Pour une protection complète, il est nécessaire d'effacer intégralement le système d'exploitation en écrasant les données existantes, puis de réinstaller un nouveau système d'exploitation.
Les experts conseillent d'utiliser un bon programme antivirus pour minimiser ce risque, et recommandent aux utilisateurs de modifier leur mot de passe principal KeePass dès que la version officielle sera disponible.
Lien source
![[Photo] Da Nang : L'eau se retire progressivement, les autorités locales profitent de l'occasion pour nettoyer](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/31/1761897188943_ndo_tr_2-jpg.webp)
![[Photo] Le Premier ministre Pham Minh Chinh assiste à la 5e cérémonie des Prix nationaux de la presse sur la prévention et la lutte contre la corruption, le gaspillage et la négativité.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/31/1761881588160_dsc-8359-jpg.webp)
Comment (0)