Les gestionnaires de mots de passe en ligne facilitent la vie des utilisateurs en synchronisant et en partageant des identifiants entre appareils. Ils stockent cependant des données très sensibles, notamment des identifiants de banque en ligne et des numéros de carte, dans des coffres chiffrés. C'est pourquoi la sécurité de leurs architectures côté serveur est cruciale.
Des chercheurs de l'Applied Cryptography Group de l'ETH Zurich — Matilda Backendal, Matteo Scarlata, Kenneth Paterson et Giovanni Torrisi — ont évalué trois fournisseurs cloud majeurs. Ensemble, ces services desservent environ 60 millions d'utilisateurs et détiennent une part de marché de 23%. En simulant un modèle de menace où un serveur est compromis et se comporte malicieusement, l'équipe a démontré 12 attaques contre Bitwarden, 7 contre LastPass et 6 contre Dashlane. Ces attaques allaient du ciblage de coffres précis à la compromission complète de coffres organisationnels, et reposaient sur des interactions normales comme se connecter, ouvrir un coffre ou synchroniser des données.
Les chercheurs ont été surpris par la gravité des vulnérabilités et ont noté que des fonctions conviviales (récupération, partage) et des architectures de code atypiques avaient élargi la surface d'attaque. Ils ont aussi observé que certains fournisseurs utilisent encore des technologies cryptographiques anciennes. Après avoir informé les fournisseurs selon les bonnes pratiques de divulgation responsable, ils ont donné un délai pour corriger les failles; la plupart ont coopéré, mais certains ont tardé par crainte que des mises à jour n'empêchent des clients d'accéder à leurs données.
Leur recommandation est claire: mettre à jour les systèmes pour les nouveaux clients, proposer aux clients existants une option de migration, être transparent sur la sécurité et privilégier des gestionnaires audités avec chiffrement de bout en bout activé par défaut. «Nous souhaitons que notre travail contribue à provoquer un changement dans cette industrie», ont-ils déclaré.
Mots difficiles
- coffre — emplacement sécurisé pour des informations sensiblescoffres
- chiffrer — coder des données pour empêcher l'accès non autoriséchiffrés
- identifiant — information utilisée pour reconnaître un utilisateuridentifiants
- surface d'attaque — ensemble des possibilités d'exploitation par un attaquant
- divulgation responsable — procédé d'annoncer des failles aux fournisseurs avant public
- chiffrement de bout en bout — méthode où seules les personnes autorisées lisent les données
- migration — action de déplacer des utilisateurs vers les nouveaux systèmes
Astuce : survolez, mettez le focus ou touchez les mots en surbrillance dans l’article pour voir des définitions rapides pendant que vous lisez ou écoutez.
Questions de discussion
- Quels avantages et quels risques voyez-vous à activer la synchronisation entre appareils pour les mots de passe ?
- Comment les fournisseurs pourraient-ils informer et aider leurs clients pendant une migration vers de nouveaux systèmes sécurisés ?
- Selon vous, quels compromis existent entre convivialité (récupération, partage) et sécurité dans ces services ?
Articles liés
L'IA transforme les soins de première ligne en Afrique subsaharienne
L'intelligence artificielle améliore les soins de première ligne dans certaines régions d'Afrique subsaharienne. Des pilotes au Kenya et ailleurs montrent des diagnostics plus rapides et des réductions des prescriptions inappropriées et des complications graves.
Militarisation et risques pour les pêcheurs au sud de Trinité
Aux villages d'Icacos et Cedros, la montée des tensions entre les États‑Unis et le Venezuela rend la mer plus dangereuse pour les pêcheurs. Le gouvernement cherche un équilibre et des mesures sont proposées pour protéger les civils.
L'attention oscille plusieurs fois par seconde
Des chercheurs montrent que l'attention humaine change selon un rythme d'environ sept à dix fois par seconde. Cette cadence aide à comprendre les distractions modernes et pourrait orienter de nouvelles stratégies pour améliorer la concentration.
Inégalités et gouvernance : l'IA entre Nord et Sud
L'intelligence artificielle promet de grands gains, mais les bénéfices risquent d'aller surtout aux pays riches. En Afrique, la production de données est importante, mais l'accès aux infrastructures et aux puces reste limité et inégal.