Posté le mars 20, 2020 à 8:19
DES APPLICATIONS MALVEILLANTES INCITENT LES GESTIONNAIRES DE MOTS DE PASSE À TRANSMETTRE LES DONNÉES DE CONNEXION
Des rapports récents ont averti que ceux qui ont tendance à utiliser des gestionnaires de mots de passe pour garder une trace de leurs informations de connexion risquent de perdre ces données au profit des hackers. Même les meilleurs gestionnaires de mots de passe semblent être vulnérables au nouveau piège que les chercheurs ont essayé, qui consiste à mettre en place de fausses applications que les gestionnaires de mots de passe pourraient croire légitimes, comme l’avertissent les experts.
Une nouvelle étude menée par les chercheurs de l’Université de York a révélé que deux gestionnaires de mots de passe sur cinq pourraient tomber dans le piège et donner les détails de connexion de leurs utilisateurs lorsqu’ils se voient présenter une fausse application Google.
L’application elle-même est malveillante, et bien que les chercheurs n’aient pas révélé trop de détails par crainte que des hackers exploitent la faille, ils ont révélé que beaucoup des meilleurs gestionnaires de mots de passe présentaient des points faibles lorsqu’il s’agit d’identifier les fausses applications et les applications malveillantes.
En d’autres termes, si les hackers réussissent d’une manière ou d’une autre à piéger les gens pour qu’ils installent de fausses versions de certaines applications populaires, il est possible qu’ils aient accès aux téléphones des victimes. Les gestionnaires de mots de passe ne constitueraient pas un moyen sûr de se connecter, car l’application enregistrerait les données de connexion et les enverrait aux hackers, qui pourraient alors se connecter aux comptes réels des utilisateurs et les exploiter.
En outre, les gestionnaires de mots de passe sont souvent eux-mêmes en danger, car beaucoup d’entre eux n’imposent pas de limites de connexion. Par conséquent, il n’est pas impossible que les applications de gestion des mots de passe soient piratées en utilisant des attaques moins sophistiquées, telles que les attaques de mots de passe par force brute. Il s’agit d’une attaque dans laquelle les hackers essayent de nombreux mots de passe jusqu’à ce que l’un d’entre eux réussisse, et bien que le processus puisse durer des heures par compte, toute effraction réussie pourrait avoir des conséquences dévastatrices.
Selon l’auteur de l’étude, les gestionnaires de mots de passe doivent être plus sécurisés
Le Dr Siamak Shahandashti, l’auteur principal de l’étude du Département d’informatique de l’Université de York, a noté que les gestionnaires de mots de passe agissent comme des gardiens pour un grand nombre d’informations sensibles. En tant que tels, ils doivent être eux-mêmes sécurisés, et avec la nouvelle menace à l’esprit, une analyse de sécurité rigoureuse de tous les gestionnaires de mots de passe est tout simplement cruciale.
Le Dr Shahandashti a ajouté que l’étude montre que les attaques par hameçonnage via des applications malveillantes sont tout à fait réalisables. Tout ce que les hackers doivent faire est de tromper la victime pour qu’elle installe l’application, et celle-ci se présentera comme une option légitime pour les gestionnaires de mots de passe, qui proposeront de remplir automatiquement la page de connexion. Jusqu’à présent, de telles applications ont eu de grandes chances de réussite, a-t-il averti.
Le chercheur a également suggéré que les gestionnaires de mots de passe commerciaux doivent déployer des mesures de filtrage supplémentaires avant de décider de partager les détails du mot de passe avec l’application à laquelle l’utilisateur tente d’accéder. Cela devrait être fait pour chaque application, et cela devrait devenir une mesure standard qui protégerait les utilisateurs contre des problèmes similaires à l’avenir. En outre, les gestionnaires de mots de passe devraient également limiter les tentatives de connexion, de sorte que les attaques par force brute ne soient pas possibles.
Certains gestionnaires de mots de passe utilisent déjà de telles mesures de protection, permettant aux utilisateurs d’essayer de se connecter jusqu’à trois à cinq fois avant de désactiver les tentatives de connexion pendant une courte période. C’est une mesure qui devrait être ajoutée à chaque gestionnaire de mots de passe existant, pour la sécurité des utilisateurs eux-mêmes. En fin de compte, les gestionnaires de mots de passe sont chargés de mémoriser des mots de passe uniques et complexes qui seraient trop difficiles à retenir pour les utilisateurs. En tant que tels, ils doivent être sûrs et aussi difficiles à pirater. C’est pourquoi les entreprises à l’origine de ces applications doivent s’assurer que leurs applications sont aussi sûres que possible et que les différentes tentatives de piratage à leur encontre sont infructueuses.
