Une étude de l'ETH Zurich révèle des failles de sécurité dans trois gestionnaires de mots de passe en nuage largement utilisés. La recherche remet en question la garantie de chiffrement de connaissance zéro que ces services offrent. Sous un modèle de serveur malveillant, un attaquant pourrait visualiser et altérer les identifiants stockés, compromettant les informations des utilisateurs.
L'écart entre le modèle théorique et l'implémentation pratique ⚠️
Les chercheurs ont démontré que l'architecture client-serveur actuelle permet des attaques de type man-in-the-middle et de modification des réponses du serveur. Bien que le chiffrement soit effectué localement, la communication de métadonnées et la logique de l'application hébergée sur le serveur créent des vecteurs d'attaque. Un fournisseur malveillant pourrait exploiter ces faiblesses pour extraire des secrets ou manipuler l'interface, sans nécessité de casser le chiffrement sous-jacent.
Votre mot de passe maître n'est plus la seule clé du coffre 🗝️
Il semble que faire confiance aveuglément au cloud pour conserver toutes vos clés numériques ait ses fissures. Pendant que vous payez pour un coffre inviolable, il s'avère que l'architecte garde un plan secret. La prochaine fois que votre gestionnaire vous demandera de mettre à jour, ce ne sera peut-être pas seulement pour ajouter des emojis, mais pour boucher la porte dérobée qu'un chercheur plus patient qu'un hacker un vendredi soir a trouvée.