Les gestionnaires de mots de passe sont bien pratiques, mais ils sont tous exposés à un risque bien connu : l’injection de scripts malveillants sur les pages Web. Quand on insère un mot de passe dans un formulaire, un tel code pourrait sans grande difficulté le voler à l’insu de l’utilisateur. Or, injecter des scripts n’est malheureusement pas très compliqué. On peut le faire au travers d’une banale extension de navigateur ou en utilisant des techniques de cross-site scripting (XSS).
C’est pourquoi deux chercheurs de l’université de Virginie – Hannah Li et David Evans – viennent de présenter un nouveau concept de gestionnaire de mots de passe. Baptisé Horcrux (une référence un peu morbide à Harry Potter), ce nouveau système va insérer un faux nom d’utilisateur et un faux mot de passe dans le formulaire d’authentification – où ils pourraient donc être récupérés par une personne mal intentionnée.
Après validation par l’utilisateur du formulaire, Horcrux va intercepter la requête HTTPS POST avant qu’elle ne soit chiffrée et remplacer les fausses données par les vraies, ce qui permettra à l’utilisateur de bien se loguer. Cette façon de faire permet de ne plus exposer son mot de passe au niveau de la page Web.
Les chercheurs ont créé un prototype sous la forme d’une extension Firefox et ils l’ont testé de façon automatique sur 214 355 sites Web, tous issus du classement Alexa et disposant d’un formulaire de connexion. Résultat : le remplacement d’identifiants à la volée fonctionne parfaitement dans 98 % des cas.
Un stockage par secret réparti
Les chercheurs ont également proposé une nouvelle méthode de stockage des mots de passe côté serveurs. Ces derniers, en effet, attirent les pirates car ils représentent un véritable trésor. Pour éviter toute compromission éventuelle des mots de passe, les chercheurs proposent de les stocker dans plusieurs dépôts et selon la méthode du secret réparti – c’est là que l’appellation Horcrux prend tout son sens. La méthode suppose en effet qu’il faille rassembler plusieurs éléments avoir de pouvoir reconstituer un secret. Ainsi, même si des pirates arrivent à pirater un dépôt de mots de passe, ils ne pourront rien en faire.
Les chercheurs ont publié le code de leur prototype sur GitHub, y compris la partie serveur. Charge aux éditeurs de gestionnaire de mots de passe de s’en inspirer pour renforcer la sécurité de leurs outils.
Source :
BleepingComputer
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
