Selon Bleeping Computer , une vulnérabilité de vidage mémoire récemment découverte dans l'application KeePass pourrait permettre aux attaquants de récupérer les mots de passe principaux en clair, même si la base de données est verrouillée ou le programme fermé. Un correctif pour cette vulnérabilité critique ne sera pas disponible avant début juin au plus tôt.
Un chercheur en sécurité a signalé la vulnérabilité et publié une preuve de concept permettant à un attaquant d'extraire le mot de passe principal en clair, même si la base de données KeePass était fermée, le programme verrouillé, voire inactif. Une fois récupéré en mémoire, le ou les deux premiers caractères du mot de passe manquaient, mais la chaîne entière pouvait alors être devinée.
L'exploit a été développé pour Windows, mais Linux et macOS sont également considérés comme vulnérables, car le problème est présent dans KeePass et non dans le système d'exploitation. Pour exploiter le mot de passe, un attaquant aurait besoin d'accéder à un ordinateur distant (obtenu via un logiciel malveillant) ou directement à la machine de la victime.
Selon l'expert en sécurité, toutes les versions de KeePass 2.x sont concernées. En revanche, KeePass 1.x, KeePassXC et Strongbox, autres gestionnaires de mots de passe compatibles avec les fichiers de base de données KeePass, ne sont pas concernés.
Le correctif sera inclus dans la version 2.54 de KeePass, qui pourrait être publiée début juin.
Une nouvelle faille de sécurité met KeePass en danger car aucun correctif n'est encore disponible
Il existe désormais une version de test instable de KeePass avec des mesures d'atténuation en place, mais un rapport de Bleeping Computer indique que le chercheur en sécurité n'a pas pu reproduire le vol de mot de passe à partir de la vulnérabilité.
Cependant, même après la mise à niveau de KeePass vers une version corrigée, les mots de passe restent visibles dans les fichiers mémoire du programme. Pour une protection complète, les utilisateurs doivent réinitialiser complètement leur ordinateur en écrasant les données existantes, puis réinstaller un nouveau système d'exploitation.
Les experts conseillent d'utiliser un bon programme antivirus pour minimiser cette possibilité et recommandent aux utilisateurs de modifier leur mot de passe principal KeePass une fois la version officielle disponible.
Lien source
Comment (0)