La vulnérabilité KeePass pourrait exposer le mot de passe principal en texte brut

Le gestionnaire de mots de passe populaire KeePass présentait une grave vulnérabilité de sécurité exposant les mots de passe principaux des utilisateurs en texte clair. Suite au rapport de bogue, le service a corrigé la faille avec la version suivante de KeePass, ainsi que de nombreuses autres mises à niveau de fonctionnalités.

La vulnérabilité KeePass pourrait entraîner une fuite des mots de passe principaux

Un chercheur en sécurité avec un pseudonyme « vdohney” a trouvé un grave problème de sécurité affectant le gestionnaire de mots de passe KeePass. Plus précisément, l’exploitation de la vulnérabilité pourrait permettre à un adversaire d’accéder aux mots de passe principaux KeePass en texte clair.

Comme l’explique le chercheur rapport d’erreur, les paramètres par défaut de KeePass peuvent permettre à un utilisateur d’extraire le mot de passe principal du vidage de la mémoire du processus. L’exécution de cette activité n’a pas nécessité l’exécution de code et n’a reçu aucun impact de la source de mémoire.

Étant donné un vidage de mémoire de processus, je suis capable de reconstruire le mot de passe principal. Peu importe que l’espace de travail soit verrouillé ou non, cela fonctionne malgré tout. La source de mémoire n’est pas non plus importante – par exemple, il peut s’agir d’un fichier d’échange (swap) ou du fichier d’hibernation. Aucune exécution de code n’est nécessaire, juste la mémoire seule.

De plus, la faille de sécurité resterait là même après le verrouillage de l’espace de travail. Le chercheur a noté que ce phénomène violait la prétention de KeePass de fermer le fichier de base de données après avoir verrouillé l’espace de travail.

Plus précisément, le problème existait avec la classe SecureTextBoxEx. Après qu’un utilisateur ait tapé le mot de passe principal KeePass, l’outil exposerait les caractères du mot de passe principal dans les chaînes restantes.

En plus de partager les détails du rapport, le chercheur a également démontré la faille (CVE-2023-32784) dans le preuve de concept partagée sur GitHub.

KeePass a corrigé la faille

Bien que la vulnérabilité semblait grave, il est intéressant de noter qu’elle n’affectait pas les mots de passe lorsqu’ils étaient collés depuis le presse-papiers. Au lieu de cela, cela ne fonctionnait qu’avec des mots de passe saisis manuellement. (Cependant, copier les mots de passe et les laisser dans le presse-papiers est une autre mauvaise pratique de sécurité.) De plus, la vulnérabilité n’a pas exposé le premier caractère du mot de passe principal, mais uniquement les caractères suivants.

Néanmoins, pour éliminer tout risque de sécurité, Dominik Reichl, créateur et développeur de KeePass, a résolu le problème avec la dernière version. Comme expliqué dans son réponse à vdohney, KeePass utilise désormais les fonctions de l’API Windows pour « obtenir/définir le texte de la zone de texte » au lieu de créer des chaînes gérées. En outre, l’outil crée désormais des fragments factices dans la mémoire de processus pour empêcher de déterminer les fragments corrects.

Les développeurs ont publié ces correctifs avec KeePass version 2.54. Outre cette correction de bogue, la nouvelle version du gestionnaire de mots de passe comprend plusieurs améliorations et mises à niveau de fonctionnalités.

Certaines modifications notables incluent le stockage des déclencheurs, les remplacements d’URL globales, les profils de générateur de mot de passe et d’autres paramètres du fichier de configuration appliqué, l’ajout d’une boîte de dialogue avec le paramètre « Appliquer les options » et l’amélioration des boîtes de dialogue de confirmation d’exportation.

Maintenant que la vulnérabilité PoC et le correctif correspondant sont arrivés publiquement, tous les utilisateurs de KeePass doivent mettre à jour leurs appareils immédiatement avec les dernières versions de KeePass pour rester à l’abri des attaques potentielles.

Faites-nous part de vos réflexions dans les commentaires.