Une étude de l'ETH Zurich révèle des failles de sécurité dans les gestionnaires de mots de passe en nuage comme Bitwarden, LastPass et Dashlane. Les chercheurs ont démontré qu'un serveur compromis peut contourner les protections et accéder ou modifier les identifiants stockés. Cela contredit la promesse de chiffrement sans connaissance, où même le fournisseur ne devrait pas pouvoir voir les données.
Le maillon faible : l'architecture client-serveur et le protocole HTTP ⛓️
La recherche a identifié que le problème réside dans l'implémentation du protocole entre l'application cliente et le serveur. En simulant un serveur malveillant, ils ont pu intercepter et manipuler les réponses HTTP pendant le processus de synchronisation. Cela a permis d'injecter du code JavaScript malveillant dans le client, qui, une fois exécuté, extrait le mot de passe maître ou le coffre déchiffré, annulant la protection du chiffrement de bout en bout.
Votre mot de passe maître leur envoie des salutations (et le reste des clés) 👋
Vous avez donc confié vos secrets numériques à un système qui promettait d'être une forteresse imprenable. Il s'avère que la porte principale avait une serrure complexe, mais la fenêtre latérale était grande ouverte. C'est un rappel que, en sécurité, la chaîne est aussi forte que son maillon le plus... créatif. Maintenant, votre clé bancaire et celle de Netflix sont en voyage imprévu sur un serveur suisse.