KeeFarce perce le coffre-fort de mots de passe KeePass

Par
Alex
-
1
KeeFarce perce le coffre-fort de mots de passe KeePass

On ne cesse de vous le répéter encore et encore mais cela n’empêche pas certains de saisir leur mot de passe sur un post-it et de le coller sur leur écran. À l’ère du tout numérique, les mots de passe deviennent la clé de sources d’informations personnelles et hautement confidentielles. Il faut donc vous efforcer d’en créer des compliqués et de ne pas les divulguer. Malheureusement, notre mémoire peut vite saturer vu le nombre de codes à retenir. Certains vont alors utiliser le même mot de passe pour différents accès (ce qui n’est pas top il faut le dire) et d’autres vont faire confiance à des outils développés pour cela. Pour ceux qui auraient décidé d’utiliser Keepass, attention à bien verrouiller votre poste si vous ne voulez pas être une victime de Keefarce.

151111_KeFarce_01

Copie d’écran de KeePass

Pour ceux qui ne connaissent pas Keepass, il s’agit d’une solution de gestion de mots de passe. Il se définit comme le « coffre-fort des mots de passe » libre et gratuit. Tous les accès enregistrés dans Keepass sont cryptés et uniquement accessibles après avoir saisi un mot de passe « maître ». Malheureusement, il semble que le programme nommé Keefarce ait trouvé comment crocheter ce coffre et ce n’est ni un poisson d’avril, ni une farce. Il est capable d’extraire l’ensemble des identifiants / mots de passe (ainsi que les URL et notes) stockés sur l’outil Keepass. Je vous rassure, il faut que certaines conditions soient réunies pour que le hacker ou tout simplement la personne mal intentionnée puisse accéder à ces informations.

Le premier point est qu’il faut nécessairement vous vous soyez déjà identifié sur Keepass (avoir saisi le mot de passe maître). Ensuite, il faut disposer d’un accès à votre machine, ce qui signifie que vous laissé votre session ouverte (pas bien !). Une fois le programme exécuté sur la machine contenant Keepass, il va, par une injection DLL, récupérer les informations et vous générer un fichier txt contenant ces précieuses informations. Et voilà, en un seul clic et en quelques secondes, on vient de vous subtiliser des informations précieuses.

Contrairement à ce qu’on pourrait croire, ce programme n’a pas été développé par un hacker mais par un chercheur en sécurité informatique, Denis Andzakovic. J’espère seulement qu’il a communiqué ses informations aux développeurs de Keepass avant d’en parler sur le web et de mettre à disposition les sources du programme. En plus, le programme fonctionne avec la dernière version disponible de Keepass sur Windows (2.30) mais également avec des versions inférieures (2.28, 2.29 en 32 / 64bits sous Windows 8.1).

Que ce soit Keepass, Lastpass, Dashlane ou tout autre solution de gestion des mots de passe, ce n’est pas sûr 100% si vous n’êtes pas vigilant de votre côté.

Source

ARTICLES CONNEXESPLUS DE L'AUTEUR

1 COMMENTAIRE

LAISSER UN COMMENTAIRE

Merci de saisir votre commentaire
Merci d'entrer votre nom ici

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.