Les chercheurs révèlent les vulnérabilités des gestionnaires de mots de passe

Certains gestionnaires de mots de passe commerciaux peuvent être vulnérables aux cyber-attaques de fausses applications, selon de nouvelles recherches.

Les experts en sécurité recommandent d'utiliser un mot de passe complexe, aléatoire et unique pour chaque compte en ligne, mais se souvenir de tous serait une tâche difficile. C'est là que les gestionnaires de mots de passe sont utiles.

Les coffres-forts chiffrés accessibles par un seul mot de passe maître ou PIN, ils stockent et remplissent automatiquement les informations d'identification pour l'utilisateur et sont fortement recommandés par le National Cyber ​​Security Center du Royaume-Uni.

Cependant, des chercheurs de l'Université de York ont ​​montré que certains gestionnaires de mots de passe commerciaux n'étaient peut-être pas un moyen étanche d'assurer la cybersécurité.

Après avoir créé une application malveillante pour usurper l'identité d'une application Google légitime, ils ont réussi à duper deux des cinq gestionnaires de mots de passe qu'ils ont testés pour qu'ils donnent un mot de passe.

L'équipe de recherche a constaté que certains des gestionnaires de mots de passe utilisaient des critères faibles pour identifier une application et quel nom d'utilisateur et mot de passe suggérer pour le remplissage automatique. Cette faiblesse a permis aux chercheurs d'usurper l'identité d'une application légitime simplement en créant une application malveillante avec un nom identique.

L'auteur principal de l'étude, le Dr Siamak Shahandashti, du Département d'informatique de l'Université de York, a déclaré: «Les vulnérabilités des gestionnaires de mots de passe offrent aux pirates des possibilités d'extraire des informations d'identification, de compromettre les informations commerciales ou de violer les informations des employés. beaucoup d'informations sensibles, une analyse de sécurité rigoureuse des gestionnaires de mots de passe est cruciale.

"Notre étude montre qu'une attaque de phishing à partir d'une application malveillante est hautement réalisable. Si une victime est amenée à installer une application malveillante, elle pourra se présenter comme une option légitime sur l'invite de remplissage automatique et aura de grandes chances de succès."

"À la lumière des vulnérabilités de certains gestionnaires de mots de passe commerciaux que notre étude a mis en évidence, nous suggérons qu'ils doivent appliquer des critères de correspondance plus stricts qui ne reposent pas uniquement sur le prétendu nom de package d'une application"

Les chercheurs ont également découvert que certains gestionnaires de mots de passe n'avaient pas de limite sur le nombre de fois qu'un code PIN ou un mot de passe principal pouvait être entré. Cela signifie que si les pirates avaient accès à l'appareil d'un individu, ils pouvaient lancer une attaque "par force brute", en devinant un code PIN à quatre chiffres en environ 2,5 heures.

En plus de ces nouvelles vulnérabilités, les chercheurs ont également dressé une liste des vulnérabilités précédemment révélées identifiées dans une étude précédente et testé si elles avaient été résolues. Ils ont constaté que si les problèmes les plus graves avaient été résolus, beaucoup n'avaient pas été résolus.

Les chercheurs ont divulgué ces vulnérabilités aux gestionnaires de mots de passe.

L'auteur principal de l'étude, Michael Carr, qui a effectué la recherche tout en étudiant pour sa maîtrise en cybersécurité au Département d'informatique de l'Université de York, a déclaré: "De nouvelles vulnérabilités ont été découvertes grâce à des tests approfondis et divulguées de manière responsable aux fournisseurs. Certains ont été corrigés immédiatement tandis que d'autres ont été jugés de faible priorité.

"Des recherches supplémentaires sont nécessaires pour développer des modèles de sécurité rigoureux pour les gestionnaires de mots de passe, mais nous conseillons toujours aux particuliers et aux entreprises de les utiliser car ils restent une option plus sécurisée et utilisable. Bien que ce ne soit pas impossible, les pirates informatiques devraient lancer une attaque assez sophistiquée pour accéder aux informations qu'ils stockent. "

Revisiter les vulnérabilités de sécurité dans les gestionnaires de mots de passe commerciaux sera présenté à la 35e conférence internationale sur la sécurité des systèmes TIC et la protection de la vie privée (IFIP SEC 2020) en septembre 2020.