16/12/2024

Actu CybersécuritéLogiciel - OS

Une « faille de sécurité » KeePassXC permet de changer le mot de passe maître : l’éditeur conteste !

Il y a quelques jours, une faille de sécurité a été identifiée dans KeePassXC, mais rapidement elle a été contestée par l'équipe de développement. Cela n'est pas sans rappeler l'affaire avec KeePass au début de l'année 2023. Pourquoi ? Faisons le point sur cette alerte.

Pour rappel, le logiciel open source KeePassXC est un fork du célèbre gestionnaire de mots de passe KeePass. D'ailleurs, ces deux solutions ont eu le droit à un article complet (et à une vidéo) il y a quelques mois sur IT-Connect : Découvrir KeePass et KeePassXC.

Associée à la référence CVE-2023–35866, cette vulnérabilité impacte toutes les versions de KeePassXC jusqu'à la version 2.7.5, qui est la dernière version à l'heure où cet article est écrit. En exploitant cette faille de sécurité, un attaquant en local avec un accès à l'ordinateur peut changer le mot de passe maître d'une base KeePassXC déverrouillée, et certains paramètres de sécurité (pour le MFA, par exemple), sans connaître le mot de passe maître actuel de la base.

Par ailleurs, pour exporter la base de données, il n'y a pas besoin de connaître le mot de passe maître non plus, et il n'est pas demandé de confirmation.

La vulnérabilité a été soumise, et c'est pour cette raison qu'elle a hérité de la référence CVE-2023-35866. Toutefois, sur le site du NIST on peut voir qu'elle est sur l'état "DISPUTED" car l'équipe de développement a effectué une demande de rejet de cette vulnérabilité. Dans un billet de blog mis en ligne sur le site officiel de KeePassXC, on peut lire : "Pour l'instant, nous ne prévoyons pas de modifier radicalement le programme pour répondre à cette demande." - Et aussi : "La solution la plus simple pour contrer ce vecteur de menace est de verrouiller votre base de données avant de quitter votre poste de travail."

Vulnérabilité ou pas, ce serait tout de même un plus qu'il y ait par défaut ces protections pour ajouter une couche de sécurité supplémentaire à la base KeePassXC. Mais, de toute façon, à partir du moment où la base est déverrouillée, un attaquant peut lire le contenu de la base et se servir... Car là, il est bien question d'une situation où la base KeePassXC est déjà déverrouillée.

Je sens qu'il va encore y avoir un débat avec des avis tranchés sur cette histoire...! Nous attendons vos avis en commentaires !

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.