Se souvenir de tous vos mots de passe sur tous vos comptes en ligne est difficile et c'est pourquoi les gestionnaires de mots de passe comme LastPass, Dashlane et 1Password existent. Mais ces énormes bases de données cryptées de noms d'utilisateur et de mots de passe sont des cibles privilégiées pour les criminels et de nombreux programmes ont subi des violations.
Cette semaine, gestionnaire de mots de passe gratuit KeePass a annoncé sur son site que une vulnérabilité existe dans son logiciel et les pirates pourraient envoyer de fausses mises à jour logicielles contenant des logiciels malveillants aux utilisateurs en se faisant passer pour le nouveau logiciel KeePass. KeePass utilise le protocole HTTP (Hypertext Transfer Protocol) non crypté au lieu de la version sécurisée HTTPS. (Si vous ne savez pas ce que sont HTTP et HTTPS, jetez un œil à l'URL de cette page. HTTPS est le protocole qui héberge les données envoyées entre un navigateur Internet et des sites Web. HTTPS est sécurisé et authentifie chaque site Web et le serveur à faire sûr qu'un site malveillant ne se fait pas passer pour un site légitime.)
Chercheur en sécurité Florian Bogner dit LifeHacker que parce que KeePass utilise HTTP pour les mises à jour logicielles, les escrocs peuvent créer une fausse mise à jour enrichie de logiciels malveillants.
KeePass explique sur son site :
Le fichier d'informations de version est téléchargé à partir du site Web de KeePass via HTTP. Ainsi, un homme au milieu (quelqu'un qui peut intercepter votre connexion au site Web de KeePass) pourrait avoir renvoyé un fichier d'informations de version incorrect, faisant éventuellement afficher à KeePass une notification indiquant qu'une nouvelle version de KeePass est disponible.
KeePass dit que ce n'est pas parce qu'un pirate informatique vous envoie une fausse mise à jour contenant un logiciel malveillant que l'attaque est en cours, car KeePass n'héberge pas de mises à jour automatiques. Les utilisateurs de KeePass doivent télécharger manuellement une nouvelle version. KeePass indique que les utilisateurs doivent vérifier la signature numérique et si un logiciel malveillant est présent, ne le téléchargez pas.
Pour plus d'informations sur la façon de vérifier une signature numérique, regardez la vidéo de Bogner ci-dessous :
