Cette vulnérabilité dans KeePass permet aux attaquants de voler vos informations d’identification. À condition qu’ils aient un accès en écriture à votre système.
Une vulnérabilité récemment découverte dans le populaire gestionnaire de mots de passe KeePass permettrait aux attaquants d’exporter les données d’accès de leurs victimes en texte brut à partir de la base de données associée. Et cela complètement inaperçu. Cependant, étant donné que le processus nécessite des autorisations d’écriture, le scénario d’attaque peut être considéré comme discutable.
Un gestionnaire de mots de passe open source avec certains avantages
En plus des solutions basées sur le cloud telles que LastPass ou Bitwarden, KeePass est l’un des gestionnaires de mots de passe les plus populaires. Et non sans raison – le logiciel open source présente certains avantages en raison de sa base de données stockée localement.
Il appartient à l’utilisateur de décider exactement où aboutissent ses données d’accès. Un utilisateur de KeePass n’a pas à croire que le cloud d’un fournisseur de services ne présente pas de faiblesses sérieuses.
Quiconque utilise ce logiciel n’a qu’à mémoriser un mot de passe principal. Cela lui donne accès à tous les mots de passe qu’il a stockés dans sa base de données. Même si une personne non autorisée accède à ce coffre-fort à mot de passe, elle se retrouve généralement devant une porte verrouillée.
La vulnérabilité KeePass permet une attaque via un fichier de configuration
Mais même avec les développeurs de ce gestionnaire de mots de passe populaire, tout n’est pas aussi étanche qu’il n’y paraît à première vue. Une vulnérabilité récemment découverte dans KeePass permettrait aux voleurs de données d’injecter un déclencheur dans le fichier de configuration XML du logiciel.
Cela peut parfois être utilisé à mauvais escient pour que le programme exporte tous les noms d’utilisateur et mots de passe contenus dans la base de données en texte brut la prochaine fois que l’utilisateur entre le mot de passe principal. Et cela complètement inaperçu et sans aucune notification.
Seule exigence : l’attaquant a besoin d’un accès en écriture au système de sa victime.
Les droits d’écriture requis permettent d’autres scénarios d’attaque
Mais ce sont précisément les autorisations d’écriture requises qui rendent absurde la prétendue vulnérabilité KeePass CVE-2023-24055. C’est du moins ce que disent les explications de l’équipe de développement.
Parce que si vous avez un accès en écriture à un système, vous pouvez également compromettre la base de données de mots de passe d’autres manières. Par exemple, l’attaquant pourrait simplement remplacer le fichier exécutable du logiciel KeePass par une variante infectée par un code malveillant.
« Ces attaques ne peuvent être prévenues qu’en sécurisant l’environnement (en utilisant un logiciel antivirus, un pare-feu, en n’ouvrant pas de pièces jointes inconnues, etc.). KeePass ne peut pas fonctionner comme par magie en toute sécurité dans un environnement non sécurisé.
Développeur KeepPass
La prétendue faille de sécurité dans KeePass est connue depuis des années
Comme le rapporte BleepingComputer, le centre d’aide KeePass attaque la prétendue vulnérabilité intitulée « Accès en écriture au fichier de configuration» est en fait depuis au moins avril 2019.
Une solution de contournement possible serait d’utiliser un « fichier de configuration forcée » au. Le contenu de ce fichier créé par un administrateur système prime donc sur les autres fichiers de configuration – y compris les déclencheurs qu’ils contiennent.
Mais cet obstacle peut également être contourné, par exemple en utilisant un package KeePass alternatif.
« Si l’utilisateur exécute une autre copie de KeePass sans fichier de configuration appliqué, cette copie ne sera pas au courant du fichier de configuration appliqué stocké ailleurs, c’est-à-dire qu’aucun paramètre ne sera appliqué. »
Développeur KeepPass
Conclusion : Idéalement, vous ne devriez tout simplement pas donner aux attaquants un accès en écriture à votre système ! 😄