Le hacker néozélandais Denis Andzakovic vient de créer un logiciel plutôt dangereux : un extracteur de mots de passe pour KeePass 2.x, célèbre logiciel de gestion de sésames open source. Une fois installé sur une machine, cet « outil » baptisé KeeFarce attend que l’utilisateur déverrouille son gestionnaire de mots de passe pour siphonner tous les identifiants et les exfiltrer au travers d’un simple fichier .CSV.
Pour y arriver, le logiciel s’appuie sur une technique dite d’ « injection DLL ». Elle lui permet de s’insérer dans l’environnement d’exécution du gestionnaire de mots de passe et de lancer – ni vu ni connu – sa fonction d’exportation. Et le tour est joué.
L’un des cas d’usage, pour un pirate, serait de combiner KeeFarce – qui est disponible sur GitHub – avec une autre technique pour pouvoir l’installer à distance, sans avoir à accéder à la machine. Par exemple, au travers d’un envoi de phishing. Les possibilités sont nombreuses.
Vulnérable par design
Faut-il, par conséquent, ne plus toucher à KeePass ? Non, car, sur le principe, le développement du hacker néozélandais n’apporte rien de foncièrement nouveau. La sécurité d’un gestionnaire de mots de passe est directement liée à celle du système d’exploitation. Un pirate qui arrive à y prendre pied aura, tôt ou tard, accès à la base de mots de passe. Les développeurs de KeePass, d’ailleurs, le disent depuis longtemps. Face à un logiciel espion ciblé, « la meilleure fonction de sécurité sera vouée à l’échec », expliquent-ils sur le site web de KeePass.
Interrogé par Ars Technica, Denis Andzakovic explique que les boîtes à outils de hacker tels que Metasploit permettaient d’ores et déjà d’extraire une base de données KeePass sur une machine compromise. Mais c’est un peu laborieux. La nouveauté, avec KeeFarce, est d’automatiser cette extraction.
Au final, KeeFarce ne met pas réellement à mal KeePass. Ce code nous rappelle simplement qu’un gestionnaire de mots de passe n’est pas un outil magique capable de lutter contre tout et n’importe quoi. C’est vrai pour KeePass, mais aussi pour ses concurrents tels quel LastPass ou1Password. Même quand la base est stockée dans le cloud, il faudra bien – à un moment donné – la rapatrier sur un ordinateur et la déchiffrer pour pouvoir l’utiliser. Mais c’est toujours mieux que de créer une liste de mots de passe sous Excel, de noter ses identifiants sur des Post-it ou d’utiliser le même mot de passe pour tous ses accès.
Source :
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
