Les gestionnaires de mots de passe en ligne facilitent la vie des utilisateurs en synchronisant et en partageant des identifiants entre appareils. Ils stockent cependant des données très sensibles, notamment des identifiants de banque en ligne et des numéros de carte, dans des coffres chiffrés. C'est pourquoi la sécurité de leurs architectures côté serveur est cruciale.
Des chercheurs de l'Applied Cryptography Group de l'ETH Zurich — Matilda Backendal, Matteo Scarlata, Kenneth Paterson et Giovanni Torrisi — ont évalué trois fournisseurs cloud majeurs. Ensemble, ces services desservent environ 60 millions d'utilisateurs et détiennent une part de marché de 23%. En simulant un modèle de menace où un serveur est compromis et se comporte malicieusement, l'équipe a démontré 12 attaques contre Bitwarden, 7 contre LastPass et 6 contre Dashlane. Ces attaques allaient du ciblage de coffres précis à la compromission complète de coffres organisationnels, et reposaient sur des interactions normales comme se connecter, ouvrir un coffre ou synchroniser des données.
Les chercheurs ont été surpris par la gravité des vulnérabilités et ont noté que des fonctions conviviales (récupération, partage) et des architectures de code atypiques avaient élargi la surface d'attaque. Ils ont aussi observé que certains fournisseurs utilisent encore des technologies cryptographiques anciennes. Après avoir informé les fournisseurs selon les bonnes pratiques de divulgation responsable, ils ont donné un délai pour corriger les failles; la plupart ont coopéré, mais certains ont tardé par crainte que des mises à jour n'empêchent des clients d'accéder à leurs données.
Leur recommandation est claire: mettre à jour les systèmes pour les nouveaux clients, proposer aux clients existants une option de migration, être transparent sur la sécurité et privilégier des gestionnaires audités avec chiffrement de bout en bout activé par défaut. «Nous souhaitons que notre travail contribue à provoquer un changement dans cette industrie», ont-ils déclaré.
Mots difficiles
- coffre — emplacement sécurisé pour des informations sensiblescoffres
- chiffrer — coder des données pour empêcher l'accès non autoriséchiffrés
- identifiant — information utilisée pour reconnaître un utilisateuridentifiants
- surface d'attaque — ensemble des possibilités d'exploitation par un attaquant
- divulgation responsable — procédé d'annoncer des failles aux fournisseurs avant public
- chiffrement de bout en bout — méthode où seules les personnes autorisées lisent les données
- migration — action de déplacer des utilisateurs vers les nouveaux systèmes
Astuce : survolez, mettez le focus ou touchez les mots en surbrillance dans l’article pour voir des définitions rapides pendant que vous lisez ou écoutez.
Questions de discussion
- Quels avantages et quels risques voyez-vous à activer la synchronisation entre appareils pour les mots de passe ?
- Comment les fournisseurs pourraient-ils informer et aider leurs clients pendant une migration vers de nouveaux systèmes sécurisés ?
- Selon vous, quels compromis existent entre convivialité (récupération, partage) et sécurité dans ces services ?
Articles liés
Pourquoi les modèles ratent la multiplication à quatre chiffres
Une étude montre que l'entraînement standard empêche certains modèles de langage de garder les valeurs intermédiaires nécessaires pour multiplier deux nombres à quatre chiffres. Une méthode appelée ICoT permet au modèle d'atteindre 100 % et de mémoriser ces étapes.
Des médias demandent de l’aide contre les fausses informations par l’IA
Lors du Belt and Road Journalists Forum à Ganzhou, des représentants de médias de pays à revenu faible et intermédiaire ont demandé à un groupement de journalistes chinois d’aider à lutter contre les fausses informations créées par l’IA.
Une IA qui coache les étudiants en suture
Des chercheurs de Johns Hopkins ont créé une IA qui observe les gestes de suture et envoie un retour personnalisé. Une étude avec 12 étudiants montre que les étudiants expérimentés progressent plus vite avec ce coaching. L'équipe veut rendre l'outil utilisable à domicile.