Des hackers peuvent s’attaquer à Keepass, mettez à jour le gestionnaire de mot de passe

[patoo45]

https://www.numerama.com/cyberguerre/12 ... passe.html

[maxoxo]

Salut !

Ça m'a occupé un peu la semaine dernière au boulot (dure dure la vie de RSSI). C'est une solution qui est encore utilisée chez nous, malgré mes efforts depuis plusieurs mois pour pousser à la migration vers un autre outil.

J'aimerais toutefois corriger deux choses affirmées dans l'article :

- Tout d'abord, cette faille n'en est pas encore officiellement une, son statut est actuellement "en discussion". Voir notamment ici : https://nvd.nist.gov/vuln/detail/CVE-2023-24055
Le développeur de KeePass considère que l'outil n'est pas prévu pour se protéger contre quelqu'un qui a un tel niveau d'accès sur la machine (administrateur local). Je ne partage pas du tout cette position, mais elle relativise aussi le terme de "faille" car cela n'a jamais été caché. C'est même indiqué dans la doc officielle de l'outil : https://keepass.info/help/base/security.html#secoptex

- Contrairement à ce que dit l'article, mettre à jour KeePass vers sa dernière version ne changera rien. C'est structurel et le développeur ne veut pas corriger la fonctionnalité contestée. L'article de Numerama induit en erreur. Je ne sais pas s'il y a des utilisateurs de KeePass sur le forum, mais il ne faudrait pas qu'ils se pensent protégés en mettant à jour.

L'article d'IT Connect est plus honnête : https://www.it-connect.fr/faille-critiq ... -en-clair/

Cependant, KeePass reste un très bon outil de gestion des mots de passe à l'échelle individuelle. Pour un particulier vigilant sous Linux, le risque est tout de même limité. Après si l'on veut se mettre à l'abri de ce scénario tout en utilisant KeePass, il n'y a qu'une seule solution. L'exécuter en mode portable depuis une clé USB chiffrée avec le dossier de configuration en lecture seule. Par sécurité on pourra stocker la base de mots de passe ailleurs que sur la clé USB. Ainsi, en retirant la clé après chaque utilisation, on empêche un attaquant qui aurait compromis la machine au point d'en devenir admin de mettre la main sur les mdp.

Sinon, on peut juste migrer vers une solution plus moderne, mais il n'y a rien de parfait. Chacun doit étudier son modèle de menaces et faire le choix en fonction de là où elles sont les plus réduites.

[maxoxo]

UPDATE à 15h45 : j'ai échangé avec le journaliste de Numerama sur Twitter qui a du coup modifié l'article.

Merci Patoo45 pour le partage

[Glenic]

Hello,
Bon moi je gère mes mots de passe avec Bitwarden https://bitwarden.com/ (site en anglais - pas vu de version française)
J'espère qu'il n'a pas de "faille" !

[maxoxo]

Hello,
Bon moi je gère mes mots de passe avec Bitwarden https://bitwarden.com/ (site en anglais - pas vu de version française)
J'espère qu'il n'a pas de "faille" !

Salut,

Malheureusement, l'outil "sans faille" n'existe pas. On a pu voir récemment qu'un service de mots de passe en cloud très populaire appelé "LastPass" était une vraie passoire : https://www.clubic.com/lastpass/actuali ... oyait.html

Toutefois Bitwarden dispose d'une conception bien plus robuste que la plupart des outils du marché (KeePass inclus). C'est vital pour un outil cloud car les dégâts peuvent être à large échelle. Bitwarden est conçu selon le principe de "la preuve à nulle divulgation de connaissance" ou "Zero Knowledge". Cela signifie que tout est conçu de façon à ce que les serveurs de Bitwarden en sachent le moins sur toi et les moyens de t'authentifier ou déchiffrer le coffre fort de mots de passe. Concrètement, Bitwarden ne stocke pas ton mot de passe principal et n'y a pas à accès. Tout fonctionne par dérivation de clé avec un algorithme parmi les plus sûrs à l'heure actuelle (PBKDF2). Au niveau cryptographie, Bitwarden fait ce qu'on peut faire de mieux dans son contexte d'utilisation. Le hachage et le salage des données sont également exemplaires, quand bien même des données seraient exfiltrées de chez Bitwarden, elles seraient quasiment impossibles à bruteforcer avec les capacités informatiques actuelles.

C'est bien parce qu'ils ne connaissent pas ton identité ni ton moyen d'identification qu'ils sont dans l'incapacité totale de répondre aux éventuelles demandes du Gouvernement américain. On ne peut pas forcer quelqu'un à révéler un secret qu'il ne connaît pas ! Le revers de la médaille est que si tu oublies ton mot de passe maître (ta clé donc) c'est terminé. Tu ne pourras jamais récupérer l'accès à ton coffre-fort. On peut changer le mot de passe maître uniquement si on connaît celui d'origine.

Malgré toute la robustesse de la conception de Bitwarden, il existe bien des scénarios de défaillance ou de compromission :

- La vulnérabilité majeure de Bitwarden est son utilisateur ! En effet, le seul vrai scénario de compromission est celui dans lequel le mot de passe maître est deviné ou intercepté par un pirate. Cela signifie donc que l'utilisateur a choisi un mot de passe trop faible ou a réutilisé ce mot de passe sur d'autres services compromis. Cela peut aussi arriver si l'utilisateur utilise une machine infectée par un keylogger (qui intercepte et enregistre tout ce qui est tapé) ou une machine située dans un réseau non fiable (bien que HTTPS doit théoriquement empêcher ça). Pour se prémunir de ça, il faut impérativement renforcer l'authentification sur Bitwarden en activant l'authentification à multi-facteurs (MFA). C'est un mécanisme qui oblige à fournir un 2ème code de sécurité pour s'authentifier (typiquement code sur téléphone etc.). On peut aussi utiliser un appareil physique comme une Yubikey USB pour valider la connexion. Il faudrait alors que le pirate ait réunit la Yubikey et le mot de passe principal. Ce qui devient très improbable.

- Au-delà de la confidentialité, il y a aussi un enjeu sur la disponibilité. Bitwarden est un logiciel libre, développé et maintenu par une société située aux USA. L'infrastructure reste très centralisée. Dans le cas d'une coupure des liaisons mondiales avec les USA ou encore d'une attaque physique sur les locaux de la société, le service ne sera plus disponible. S'agissant d'un service cloud qui passe par Internet, cela signifie donc l'impossibilité d'accéder au coffre de mots de passe. Je ne parle même pas d'une éventualité de tensions géopolitiques (ils ont bien élu Trump une fois...). On peut relativiser un peu, car à partir du moment où tu as déjà synchronisé ton coffre sur un appareil, tu peux accéder à une copie hors-ligne en cache. Cependant, il ne sera plus possible d'enregistrer de nouveaux éléments et les mots de passe non synchronisés (enregistrés depuis un autre appareil) ne seront pas disponibles.

Malgré tout ça, Bitwarden est un outil très robuste. Je l'utilise depuis 2016, il n'y a eu que 3 vulnérabilités connues et elles étaient sans réelle gravité (du moins leur exploitation était très compliquée).

La stratégie que je me suis appliquée :
- C'est un logiciel libre, donc je l'auto-héberge sur le serveur maison avec réplication extérieure chiffrée des données (dans la famille) ;
- Mon accès est protégé par MFA avec TOTP (on ne fait pas de double authentification par SMS ou mail ce n'est pas sécurisé) !
- Je fais un export local des mots de passe à intervalle régulier dans un conteneur chiffré via Cryptomator sur un disque dur externe.

Mis à part le premier point, tu peux faire les deux autres avec le Bitwarden grand public.

[Glenic1]

Merci Maxoxo pour ces précisions.
Je serais assez partant pour l'authentification à 2 facteurs sur mon nuage Bitwarden.
Mon mot de passe maître est assez robuste, mon ordi est relativement sécurisé mais le risque keylogger n'est pas nul.
La Yubikey me tente bien. J'ai été voir sur leur site : la clef la moins chère vaut 50 €.
C'est acceptable si cela dure longtemps et si cela peut servir ailleurs, par exemple pour une application bancaire.

Qu'en est-il sur ces 2 points : la durée de vie (approximative) d'une Yubikey et l'utilisation sur une appli bancaire ?

[Glenic1]

re-Bonjour,
J'ai été voir sur le site de Bitwarden ce qu'ils disent de l'authentification à 2 facteurs.
C'est en anglais mais j'ai réussi à comprendre à peu près.
Je suis étonné de voir qu'un des 2 méthodes libres préconisées est la réception du 2ème facteur par mail.
Ce n'est pas fameux sur le plan de la confidentialité ?

[maxoxo]

Hello,

Un peu de nouveau sur ce sujet que je connais bien (géré pour le boulot). L'éditeur de KeePass s'est résigné à publier une version corrigée le 8 février.

La version 2.53.1 est donc disponible pour Windows et la vulnérabilité y est corrigée ; https://keepass.info/download.html

Pour Linux, malheureusement les paquets officiels de KeePass 2.x n'ont pas été mis à jour et on ne sait pas s'ils sont vulnérables ou non car l'exploitation de la faille n'est prouvée à ce jour que sous Windows. La technique d'exploitation circule d'ailleurs librement sur Internet : https://github.com/alt3kx/CVE-2023-24055_PoC

Cela dit, depuis toujours sous Linux, il vaut mieux utiliser le fork KeePassXC qui n'est pas affecté par la vulnérabilité en question. De toute façon, KeePass a toujours été un produit Windows (logiciel libre certes, mais Windows).

Je suis étonné de voir qu'un des 2 méthodes libres préconisées est la réception du 2ème facteur par mail.
Ce n'est pas fameux sur le plan de la confidentialité ?

En effet, très clairement la 2FA par mail ou SMS ne vaut pas grand chose en termes de sécurité, mais c'est toujours mieux que rien du tout. Elle est d'ailleurs interdite au niveau européen pour le secteur bancaire (enfin plus ou moins car il y a encore des dérogations).

Qu'en est-il sur ces 2 points : la durée de vie (approximative) d'une Yubikey et l'utilisation sur une appli bancaire ?

La Yubikey c'est un très beau produit, je lorgne bcp dessus pour le boulot. Effectivement pour Bitwarden ça serait top. Si tu ne veux pas dépenser top de sous, tu peux commencer par faire du TOTP (Time One Time Password = code à usage unique) sur smartphone avec l'application libre Aegis par exemple. C'est ce que je fais moi, c'est une méthode fiable.

La Yubikey utilise des technologies de sécurité robuste, maintenant la durée de vie c'est difficile à dire. Si demain de nouveaux standards de sécurité chassent les actuels, elle pourrait être obsolète. Cela étant, je pense que tu es tranquille pour 5 ans au moins avec ce genre de produit.

Pour le support bancaire c'est une autre affaire. Les banques sont toujours à la recherche de méthodes équilibrées entre la sécurité et la facilité d'utilisation pour leurs clients. Elles préfèrent généralement faire appel à la biométrie sur smartphone ou ordinateur. Après certaines banques supportent les protocoles sécurisées comme FIDO U2F / Webauthn qui sont gérés par la Yubikey. C'est notamment le cas de Boursorama. C'est du cas par cas : banque par banque. Mais à l'avenir ces technologies vont se généraliser car y'a pas mieux pour la sécurité.

[Glenic1]

Merci Maxoxo pour ces précisions.
Pas beaucoup de temps pour l'informatique en ce moment.
Je soupçonne que l'installation d'une Yubikey ne va pas forcément être facile pour moi, donc longue avec pas mal d'allers et retours.
Quand je vois le temps que j'ai mis à installer LinuxMint 21 sur mon HP Probook, ça fait peur !
Donc je mets cette question en 2ème rang tout en veillant à prendre autant que possible les mesures de sécurité de base.

Quant à l'appli libre Aegis pour le TOTP, sera-t-elle compaztible avec Bitwarden et avec l'appli de ma banque ? Je vais aller fouiller un peu tout ça.
Sur le smartphone, il y a aussi le problème de la version d'Android qui peut poser problème pour les versions les plus anciennes (8 ou en dessous) non mises à jour par les fabricants de tph.

Juste pour le fun : ma banque à distance, je la fais sur mon ordi avec le navigateur (Firefox) et jamais sur le smartphone.
Je suis étonné de voir que ma banque ne demande quasiment jamais la 2ème authentification, disons à peine tous les 90 jours comme le demande la réglementation. J'étais prêt à la demander plus souvent mais il n'y a pas d'indications pratiques là-dessus sur le site de ma banque.
J'appelle donc mon correspondant bancaire => il n'a pas su répondre à ma question et me conseille d'utiliser l'appli sur le smartphone....
En cas de questions sur l'informatique bancaire, on reste souvent seul avec son problème !

[maxoxo]

Hello,

Je soupçonne que l'installation d'une Yubikey ne va pas forcément être facile pour moi, donc longue avec pas mal d'allers et retours.

C'est assez simple et bien supporté. Tu peux même l'utiliser pour ouvrir ta session sur ton Linux (sans avoir à taper le mot de passe donc).
Pour Bitwarden ça s'active facilement aussi.

Yubikey utilise des technologies standardisées donc y'a pas de mauvaises surprises. En revanche, il faut seulement que l'OS et les services utilisés aient décidé d'utiliser ces technos standardisées. Mais vu le nombre de protocoles supportés par la Yubikey on y trouve toujours son compte normalement.
Y'a plein de tutos pour Ubuntu et j'ai déjà vu que ça fonctionnait très bien.

Quant à l'appli libre Aegis pour le TOTP, sera-t-elle compaztible avec Bitwarden et avec l'appli de ma banque ? Je vais aller fouiller un peu tout ça.

Avec Bitwarden oui sans souci. Ça s'active facilement dans les paramètres de ton compte Sécurité > Identification en deux étapes. Là tu choisis "Application d'autentification" un QR Code va apparaître, tu le scannes depuis Aegis et ça généra donc des codes TOTP toutes les 30 secondes.
Chaque fois que tu te connecteras à Bitwarden depuis un appareil inconnu, il te demandera donc ce code à 6 chiffres affiché dans l'application Aegis après avoir saisi le bon mot de passe.

Du coup un pirate, ne peut pas accéder ton compte Bitwarden sans avoir trouvé ton login et ton mdp et sans avoir EN PLUS mis la main sur ton smartphone, avoir pu le déverrouiller et ouvrir Aegis pour récupérer le code. Voilà qui te prémunit contre la majorité des attaques. Ça devrait être la norme la 2FA aujourd'hui...

Pour l'appli de la banque, non. Les banques utilisent leurs propres méthode. J'en connais très peu qui autorisent le TOTP ou le FIDO 2UF via Yubikey. Elles préfèrent généralement par simplicité pour les clients des méthodes d'authentification forte qui font appel à la biométrie ou un code spécial connu uniquement du client et qui doit être renseigné sur un appareil de confiance unique pour valider une opération (c'est le cas du Certicode de la Banque Postale ou encore de SecuriPass pour le Crédit Agricole).

Juste pour le fun : ma banque à distance, je la fais sur mon ordi avec le navigateur (Firefox) et jamais sur le smartphone.
Je suis étonné de voir que ma banque ne demande quasiment jamais la 2ème authentification, disons à peine tous les 90 jours comme le demande la réglementation. J'étais prêt à la demander plus souvent mais il n'y a pas d'indications pratiques là-dessus sur le site de ma banque.
J'appelle donc mon correspondant bancaire => il n'a pas su répondre à ma question et me conseille d'utiliser l'appli sur le smartphone....

Je ne suis pas surpris, c'est ce qu'ils ont trouvé de plus simple pour assurer l'équilibre sécurité/ergonomie, mais ça pose des soucis aux clients qui n'ont pas de smartphone (certains membres de ma famille). Cela étant, je vais peut-être te surprendre, mais en termes de sécurité pure, utiliser l'application officielle de ta banque sur ton smartphone est bien moins risqué que d'utiliser le site depuis Firefox sur ton ordinateur et ce même sous Linux.

Le modèle de sécurité natif d'Android est bien supérieur à celui de ton PC sous Linux et ce quelle que soit la distribution utilisée (sauf à durcir à fond l'OS et ça nécessite une machine récente avec un TPM au top). Typiquement, j'ai bien plus confiance dans mon smartphone sous GrapheneOS que dans ma machine personnelle sous Fedora Silverblue (qui est pourtant bien sécurisé par rapport à d'autres OS Linux).