Keepass comble la faille du mot de passe principal
CVE-2023-32784 – Dans KeePass 2.x avant 2.54, il est possible de récupérer le mot de passe principal en clair à partir d’un vidage mémoire, même lorsqu’un espace de travail est verrouillé ou ne fonctionne plus. Le vidage de mémoire peut être un vidage de processus KeePass, un fichier d’échange (pagefile.sys), un fichier d’hibernation (hiberfil.sys) ou un vidage de RAM de l’ensemble du système. Le premier caractère ne peut pas être récupéré. Dans 2.54, il existe une utilisation différente de l’API et/ou une insertion de chaîne aléatoire pour l’atténuation.
KeePass est un gestionnaire de mots de passe open source gratuit, qui vous aide à gérer vos mots de passe de manière sécurisée. Vous pouvez stocker tous vos mots de passe dans une base de données, qui est verrouillée avec une clé principale. Ainsi, vous n'avez qu'à vous souvenir d'une seule clé principale pour déverrouiller toute la base de données. Les fichiers de la base de données sont cryptés à l'aide des algorithmes de cryptage les meilleurs et les plus sécurisés actuellement connus (AES-256, ChaCha20 et Twofish). En mai 2023, la vulnérabilité CVE-2023-3278 permettait de récupérer le mot de passe principal en texte clair que l'espace de travail KeePass soit verrouillé ou que le programme soit fermé.
Ce qu’il faut faire en urgence. Premièrement, mettre à jour vers KeePass 2.54 ou supérieur. Deuxièmement, si vous utilisez KeePass depuis longtemps, votre mot de passe principal (et éventuellement d’autres mots de passe) pourrait se trouver dans votre fichier d’échange/fichier d’échange, votre fichier d’hibernation et vos vidages sur incident. Suivez la procédure décrite.
Un mot de passe est un mot ou une série de caractères utilisés comme moyen d'authentification pour prouver son identité lorsque l'on désire accéder à un lieu protégé, à un compte informatique, un ordinateur, un logiciel ou à un service dont l'accès est limité et protégé. Le mot de passe doit être tenu secret pour éviter qu'un tiers non autorisé puisse accéder à la ressource ou au service. C'est une méthode parmi d'autres pour vérifier qu'une personne correspond bien à l'identité déclarée. Il s'agit d'une preuve que l'on possède et que l'on communique au service chargé d'autoriser l'accès. Selon la CNIL, Pour constituer un mot de passe fort, il faut douze caractères ou plus et que votre phrase contienne au moins un nombre, une majuscule, un signe de ponctuation ou un caractère spécial (dollar, dièse, ...) et une douzaine de mots. L'authentification multifacteur (MFA) est plus sûr que le mot de passe
Le chiffrement est un procédé de cryptographie grâce auquel on souhaite rendre la compréhension d'un document impossible à toute personne qui n'a pas la clé de chiffrement. Ce principe est généralement lié au principe d'accès conditionnel. Le chiffrement est l’élément fondamental de la sécurité des données. C’est le moyen le plus simple et le plus efficace de s’assurer que les informations du système informatique ne peuvent être ni volées ni lues par quelqu’un qui souhaite les utiliser à des fins malveillantes. Un algorithme de chiffrement ou code est utilisé pour développer un schéma de chiffrement qui, en théorie, ne peut être rompu que par une exceptionnelle puissance de calcul. La méthode de brute force est souvent employée pour déchiffrer l'algorithme.
