Les gestionnaires de mots de passe peuvent être pratiques pour les utilisateurs ayant de nombreux codes à retenir. Au regard de leur mission, la sécurité de ces logiciels est donc primordiale. Or, plusieurs d'entre eux ont été épinglés par un expert en sécurité.

Tavis Ormandy fait beaucoup parler de lui depuis quelques semaines. Membre de l’équipe Project Zero mise en place par Google pour dénicher des vulnérabilités critiques dans les logiciels, ce hacker très talentueux s’est lancé dans une chasse aux vulnérabilités au sein des gestionnaires de mots de passe. Et le moins que l’on puisse dire, c’est qu’il fait preuve d’une grande efficacité.

À la fin du mois de juillet, Tavis Ormandy s’est penché sur LastPass et a trouvé un certain nombre de problèmes dans le programme. Après avoir décoché quelques flèches envers les développeurs, il s’est fendu d’un rapport qui a pu être exploité par l’entreprise pour produire un correctif. Dans la foulée, il annonçait son intention de jeter un œil sur un autre gestionnaire bien connu, 1Password.

Ses premières observations indiquent que les mécanismes de sécurité ne fonctionnent pas comme prévu.

First impression from looking at 1Password. pic.twitter.com/0K6R6sPvtX — Tavis Ormandy (@taviso) August 1, 2016

Mais c’est avec un troisième gestionnaire de mots de passe, Dashlane, que Tavis Ormandy s’est manifesté. Dans des messages publiés jeudi sur Twitter, l’intéressé a taclé la qualité du code du logiciel. « Il y a un tas de vulnérabilités évidentes dans Dashlane », a-t-il lancé, avant d’indiquer qu’il allait transmettre un rapport aux équipes techniques (ce qu’il a fait). Des corrections devraient donc très bientôt être effectuées.

There's a bunch of obvious vulnerabilities in Dashlane, I'll report them later this afternoon. KeePass and KeePassX both look sane. — Tavis Ormandy (@taviso) August 11, 2016

If you work on security at Dashlane, please email me and let's get this fixed up. — Tavis Ormandy (@taviso) August 11, 2016

Concernant les deux autres gestionnaires de sécurité, Tavis Ormandy relève que KeePass et KeePassX n’ont pas de défaut apparent — ce qui ne veut pas dire qu’ils n’ont pas de failles. À ce propos, rappelons que KeePass fera l’objet d’un audit du code source encadré par la Commission européenne. En effet, KeePass est un logiciel libre, ce qui permet à chacun d’accéder à ses rouages librement.

On ne connait pas en détail la nature des brèches repérées par Tavis Ormandy. En effet, le hacker suit le principe d’une divulgation responsable, qui consiste à livrer ses explications qu’une fois les correctifs déployés. De cette façon, cela laisse le temps aux entreprises de faire les modifications nécessaires et d’éviter qu’une diffusion publique précoce ne puisse servir à une personne malveillante.

Tavis Ormandy s’est souvent fait remarquer pour ses découvertes de brèches, par exemple dans Linux, Windows, la plateforme de jeux Uplay conçue par Ubisoft ou encore le shell Bash. Il a aussi trouvé des problèmes dans les éditeurs d’antivirus Sophos et Trend Micro. Ce « CV » l’a conduit à rejoindre l’équipe Project Zero de Google, qui est une sorte de dream team des chasseurs de vulnérabilités.

Partager sur les réseaux sociaux Tweeter Partager Partager Partager redditer

La suite en vidéo