Beaucoup d'utilisateurs ont un grand nombre de mots de passe et utilisent des gestionnaires en ligne pour les stocker et les partager entre appareils. Ces services gardent souvent des informations sensibles, comme des identifiants bancaires et des numéros de carte, dans des coffres chiffrés. Dans ce contexte, la sécurité est essentielle.
Des chercheurs de l'Applied Cryptography Group de l'ETH Zurich — Matilda Backendal, Matteo Scarlata, Kenneth Paterson et Giovanni Torrisi — ont testé trois gestionnaires cloud populaires et ont simulé des serveurs malveillants. Ils ont démontré 12 attaques contre Bitwarden, 7 contre LastPass et 6 contre Dashlane. Dans la plupart des cas, les attaquants pouvaient lire et parfois modifier les mots de passe des utilisateurs en profitant d'actions normales comme la connexion ou la synchronisation.
L'équipe a suivi une divulgation responsable en informant les fournisseurs et en leur donnant du temps pour corriger les vulnérabilités. Elle recommande des mises à jour, des migrations proposées aux clients et davantage de transparence, ainsi que l'utilisation de gestionnaires audités et du chiffrement de bout en bout activé par défaut.
Mots difficiles
- gestionnaire — programme qui stocke et organise des mots de passegestionnaires
- coffre — espace sécurisé pour garder des informations sensiblescoffres
- chiffrement — procédé pour rendre des données incompréhensibles à d'autres
- vulnérabilité — faiblesse qu'un attaquant peut exploiter dans un systèmevulnérabilités
- divulgation responsable — informer d'abord le fournisseur des problèmes de sécurité
- serveur malveillant — ordinateur contrôlé par des attaquants pour nuire au serviceserveurs malveillants
- synchronisation — action de rendre identiques des données sur plusieurs appareils
- auditer — vérifier la sécurité ou les pratiques d'un serviceaudités
- mise à jour — installation de corrections ou améliorations pour un logicielmises à jour
Astuce : survolez, mettez le focus ou touchez les mots en surbrillance dans l’article pour voir des définitions rapides pendant que vous lisez ou écoutez.
Questions de discussion
- Utilisez-vous un gestionnaire de mots de passe ? Pourquoi ou pourquoi pas ?
- Quelles mesures prendriez-vous si votre gestionnaire annonçait une vulnérabilité ?
- Pensez-vous que le chiffrement de bout en bout devrait être activé par défaut ? Pourquoi ?
Articles liés
L'IA n'est pas neutre et touche les droits humains
Hija Kamran explique que les entreprises technologiques privilégient le profit et que l'IA amplifie des inégalités. Elle appelle à une approche fondée sur les droits humains et propose trois questions simples à poser sur chaque système.
Un outil réduit l'animosité politique dans le fil X
Des chercheurs ont créé une extension qui réordonne le fil X pour faire descendre les messages d'animosité partisane, sans supprimer de publications. Dans des expériences, cela a rendu les participants plus chaleureux envers le parti opposé.
Indonésie : renforcement du contrôle des plateformes numériques
Le gouvernement indonésien augmente la régulation des grandes plateformes. La ministre Meutya Hafid a visité le bureau de Meta et les règles comprennent des enregistrements, des retraits rapides et des sanctions, mais elles suscitent des critiques.
Les constructeurs automobiles chinois se tournent vers l’Afrique
Les fabricants chinois de véhicules électriques cherchent des marchés hors de Chine après une baisse des marges. Face à des droits de douane aux États‑Unis et des barrières en Europe, beaucoup misent sur l’Afrique pour vendre et produire.
Détecter l'ADN de saumon dans l'air pour suivre la migration
Lors de la remontée automnale, des chercheurs ont prélevé de l'ADN de saumon dans l'air près d'une rivière pour estimer combien de poissons traversent. Les concentrations aériennes suivaient les comptages visuels, malgré des niveaux beaucoup plus faibles que dans l'eau.