Les gestionnaires de mots de passe en ligne facilitent la vie des utilisateurs en synchronisant et en partageant des identifiants entre appareils. Ils stockent cependant des données très sensibles, notamment des identifiants de banque en ligne et des numéros de carte, dans des coffres chiffrés. C'est pourquoi la sécurité de leurs architectures côté serveur est cruciale.
Des chercheurs de l'Applied Cryptography Group de l'ETH Zurich — Matilda Backendal, Matteo Scarlata, Kenneth Paterson et Giovanni Torrisi — ont évalué trois fournisseurs cloud majeurs. Ensemble, ces services desservent environ 60 millions d'utilisateurs et détiennent une part de marché de 23%. En simulant un modèle de menace où un serveur est compromis et se comporte malicieusement, l'équipe a démontré 12 attaques contre Bitwarden, 7 contre LastPass et 6 contre Dashlane. Ces attaques allaient du ciblage de coffres précis à la compromission complète de coffres organisationnels, et reposaient sur des interactions normales comme se connecter, ouvrir un coffre ou synchroniser des données.
Les chercheurs ont été surpris par la gravité des vulnérabilités et ont noté que des fonctions conviviales (récupération, partage) et des architectures de code atypiques avaient élargi la surface d'attaque. Ils ont aussi observé que certains fournisseurs utilisent encore des technologies cryptographiques anciennes. Après avoir informé les fournisseurs selon les bonnes pratiques de divulgation responsable, ils ont donné un délai pour corriger les failles; la plupart ont coopéré, mais certains ont tardé par crainte que des mises à jour n'empêchent des clients d'accéder à leurs données.
Leur recommandation est claire: mettre à jour les systèmes pour les nouveaux clients, proposer aux clients existants une option de migration, être transparent sur la sécurité et privilégier des gestionnaires audités avec chiffrement de bout en bout activé par défaut. «Nous souhaitons que notre travail contribue à provoquer un changement dans cette industrie», ont-ils déclaré.
Mots difficiles
- coffre — emplacement sécurisé pour des informations sensiblescoffres
- chiffrer — coder des données pour empêcher l'accès non autoriséchiffrés
- identifiant — information utilisée pour reconnaître un utilisateuridentifiants
- surface d'attaque — ensemble des possibilités d'exploitation par un attaquant
- divulgation responsable — procédé d'annoncer des failles aux fournisseurs avant public
- chiffrement de bout en bout — méthode où seules les personnes autorisées lisent les données
- migration — action de déplacer des utilisateurs vers les nouveaux systèmes
Astuce : survolez, mettez le focus ou touchez les mots en surbrillance dans l’article pour voir des définitions rapides pendant que vous lisez ou écoutez.
Questions de discussion
- Quels avantages et quels risques voyez-vous à activer la synchronisation entre appareils pour les mots de passe ?
- Comment les fournisseurs pourraient-ils informer et aider leurs clients pendant une migration vers de nouveaux systèmes sécurisés ?
- Selon vous, quels compromis existent entre convivialité (récupération, partage) et sécurité dans ces services ?
Articles liés
Pertes de récoltes en Inde liées au climat et aux ravageurs
La variabilité climatique, les ravageurs et la pollution augmentent les pertes de récoltes en Inde. Cela réduit la qualité des grains, menace la santé et oblige les experts à demander de meilleures mesures et infrastructures.
IA, narration et activisme : appropriation, résistance, innovation
En avril 2026, Global Voices a publié une série sur l'IA. IRIS, soutenu par Luminate et Open Society Foundations, a commandé 10 études de cas. Trois réponses majeures émergent : appropriation, résistance et innovation, avec un focus sur la flexibilité et les réseaux.