NIS corriger une fuite de données Infraction de sécurité

Un problème dans KeePass permet de connaître le mot de passe principal !

ABONNEZ-VOUS GRATUITEMENT À NOS ACTUALITÉS
Si vous aimez nos actus inédites, ABONNEZ-VOUS A ZATAZ VIA GOOGLE NEWS

Le gestionnaire de mots de passe KeePass est vulnérable à l’extraction du mot de passe principal de la mémoire de l’application, ce qui permet aux attaquants qui compromettent l’appareil de récupérer le mot de passe même si la base de données est verrouillée. L’expert qui a découvert le problème a déjà publié un exploit PoC dans le domaine public .

Dans le même temps, il n’y a pas encore de correctif pour la vulnérabilité. La vulnérabilité, qui a reçu l’identifiant CVE-2023-3278 , a été découverte par un spécialiste de la sécurité de l’information connu sous le surnom de vdohney.

Il explique qu’il est possible de récupérer le mot de passe principal KeePass en texte clair sans le ou les deux premiers caractères, et que l’espace de travail KeePass soit verrouillé ou non (le programme peut être fermé complètement).

« KeePass Master Password Dumper est un simple outil PoC utilisé pour extraire le mot de passe principal de la mémoire KeePass. Excepté le premier caractère du mot de passe, il est capable de récupérer l’intégralité du mot de passe en clair, selon la page d’exploit sur GitHub. – L’exécution de code sur le système cible n’est pas nécessaire, seul un vidage mémoire est nécessaire. Peu importe d’où vient la mémoire. Il peut s’agir d’un vidage de processus, d’un fichier d’échange (pagefile.sys), d’un fichier d’hibernation (hiberfil.sys) ou d’un vidage RAM de l’ensemble du système. Peu importe que l’espace de travail soit verrouillé ou non.« 

Le problème est lié au fait que KeePass utilise un champ de mot de passe spécial – SecureTextBoxEx, qui laisse en mémoire des traces de chaque caractère saisi par l’utilisateur.

Le chercheur dit que la vulnérabilité affecte définitivement la dernière version de KeePass, 2.53.1, et puisque le programme est open source, tous les forks du projet sont susceptibles d’être affectés. Dans le même temps, selon lui, KeePass 1.X, KeePassXC et Strongbox ne sont pas sujets à des vulnérabilités.

Bien que l’exploit n’a été testé que sur Windows, il devrait également fonctionner sur Linux et macOS avec quelques modifications, car le problème ne vient pas du système d’exploitation, mais de la façon dont KeePass gère les entrées utilisateur.

Le chercheur avertit que les mots de passe maîtres utilisés dans le passé peuvent également rester en mémoire et peuvent être récupérés même si KeePass ne fonctionne plus sur la machine infectée.

Le développeur de KeePass, Dominik Reichl, a déclaré qu’il était déjà au courant de ce bogue. Il promet de publier un correctif pour CVE-2023-32784 dans la version 2.54, qui est attendue début juin. KeePass 2.54 pour Windows bénéficiera de ces deux améliorations, tandis que les versions macOS et Linux n’obtiendront que la dernière. Une version test est déjà disponible pour ceux qui le souhaitent .

Vdohney a déjà confirmé que les correctifs fonctionnent. Cependant, il avertit que même après la sortie d’une nouvelle version, le mot de passe principal KeePass peut toujours être stocké dans des fichiers mémoire. Pour vous assurer qu’il ne reste pas quelque part dans les entrailles du système, vous devez supprimer les fichiers de pagination et d’hibernation du système, formater le disque dur en utilisant le mode d’écrasement des données pour empêcher la récupération des données et réinstaller le système d’exploitation.

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.
  1. MrJoe Reply

    « SecureTextBoxEx, qui laisse en mémoire des traces de chaque caractère saisi par l’utilisateur. »

    Magnifique…

  2. Seagram Reply

    « Pour vous assurer qu’il ne reste pas quelque part dans les entrailles du système, vous devez supprimer les fichiers de pagination et d’hibernation du système, formater le disque dur en utilisant le mode d’écrasement des données pour empêcher la récupération des données et réinstaller le système d’exploitation. »
    C’est plus simple et plus rapide de changer de mot de passe principal, non ?

  3. Scythe Reply

    C’est un peu comme cacher la clé sous le paillasson à l’entrée de la maison ^^’

  4. Trobin Reply

    Article utile et intéressant, mais petite erreur de traduction je crois dans « En plus du premier caractère », c’est plutôt « Excepté le premier caractère ».

  5. zapfool Reply

    « supprimer les fichiers de pagination et d’hibernation du système, formater le disque dur en utilisant le mode d’écrasement des données pour empêcher la récupération des données et réinstaller le système d’exploitation. »

    Super light procédure 🙂

  6. BeoTheBold Reply

    « Pour vous assurer qu’il ne reste pas quelque part dans les entrailles du système, vous devez supprimer les fichiers de pagination et d’hibernation du système, formater le disque dur en utilisant le mode d’écrasement des données pour empêcher la récupération des données et réinstaller le système d’exploitation. »

    Ou tout simplement changer de mot de passe principal une fois la version de test installée.

  7. Dle_it Reply

    Tout comme pour les sites internet ou on parle de 2FA, savez vous que vous pouvez mettre en place ce genre de choses sur KeePass ? Générer un certificat aléatoire offline que l’on renouvèle régulièrement vous protégera de cette faille

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.