Beaucoup d'utilisateurs ont un grand nombre de mots de passe et utilisent des gestionnaires en ligne pour les stocker et les partager entre appareils. Ces services gardent souvent des informations sensibles, comme des identifiants bancaires et des numéros de carte, dans des coffres chiffrés. Dans ce contexte, la sécurité est essentielle.
Des chercheurs de l'Applied Cryptography Group de l'ETH Zurich — Matilda Backendal, Matteo Scarlata, Kenneth Paterson et Giovanni Torrisi — ont testé trois gestionnaires cloud populaires et ont simulé des serveurs malveillants. Ils ont démontré 12 attaques contre Bitwarden, 7 contre LastPass et 6 contre Dashlane. Dans la plupart des cas, les attaquants pouvaient lire et parfois modifier les mots de passe des utilisateurs en profitant d'actions normales comme la connexion ou la synchronisation.
L'équipe a suivi une divulgation responsable en informant les fournisseurs et en leur donnant du temps pour corriger les vulnérabilités. Elle recommande des mises à jour, des migrations proposées aux clients et davantage de transparence, ainsi que l'utilisation de gestionnaires audités et du chiffrement de bout en bout activé par défaut.
Mots difficiles
- gestionnaire — programme qui stocke et organise des mots de passegestionnaires
- coffre — espace sécurisé pour garder des informations sensiblescoffres
- chiffrement — procédé pour rendre des données incompréhensibles à d'autres
- vulnérabilité — faiblesse qu'un attaquant peut exploiter dans un systèmevulnérabilités
- divulgation responsable — informer d'abord le fournisseur des problèmes de sécurité
- serveur malveillant — ordinateur contrôlé par des attaquants pour nuire au serviceserveurs malveillants
- synchronisation — action de rendre identiques des données sur plusieurs appareils
- auditer — vérifier la sécurité ou les pratiques d'un serviceaudités
- mise à jour — installation de corrections ou améliorations pour un logicielmises à jour
Astuce : survolez, mettez le focus ou touchez les mots en surbrillance dans l’article pour voir des définitions rapides pendant que vous lisez ou écoutez.
Questions de discussion
- Utilisez-vous un gestionnaire de mots de passe ? Pourquoi ou pourquoi pas ?
- Quelles mesures prendriez-vous si votre gestionnaire annonçait une vulnérabilité ?
- Pensez-vous que le chiffrement de bout en bout devrait être activé par défaut ? Pourquoi ?
Articles liés
Appareils portables et IA pour le diabète de type 2 et le prédiabète
Une méta-revue de l'University at Buffalo, publiée dans NPJ Digital Medicine, analyse 60 études issues d'environ 5 000 publications pour évaluer les avantages et les limites des appareils portables dotés d'IA pour le diabète et le prédiabète.
Des capteurs bon marché pour surveiller la pollution en Afrique du Sud
Des scientifiques ont adapté des méthodes de physique des particules pour créer AI_r, un réseau de capteurs à faible coût qui mesure la qualité de l'air en temps réel. Le projet s'étend de Soweto à Sedibeng avec 500 capteurs prévus.