Des chercheurs en sécurité ont découvert une vulnérabilité critique dans KeePass, ce qui pourrait permettre à un attaquant de récupérer en clair tous les mots de passe stockés dans votre coffre-fort !
Pour rappel, KeePass est un gestionnaire de mots de passe open source qui permet de stocker ses identifiants et autres informations sensibles dans un coffre-fort chiffré et sécurisé. J’ai évoqué KeePass (ainsi que KeePass XC) dans un précédent article.
Associée à la référence CVE-2023-24055, cette faille de sécurité critique pourrait permettre à un attaquant ayant un accès en écriture au fichier de configuration XML, d’obtenir les mots de passe en clair en jouant sur les paramètres d’exportation de KeePass.
Sur Internet, il y a déjà plusieurs exploits PoC disponibles, comme c’est le cas sur l’espace GitHub d’Axel Hernandez. D’ailleurs, sur cette page il référence les actions possibles en exploitant cette vulnérabilité.
Si vous utilisez le gestionnaire de mots de passe KeePass, vous devez impérativement mettre a jour le logiciel sur votre PC, d’autant plus si vous utilisez une version 2.5X (même si c’est un peu flou pour les versions encore plus anciennes). Pour vous protéger, vous devez utiliser la version 2.53 de KeePass, qui est la plus récente à ce jour. KeePass est une cible très intéressante pour les cybercriminels car c’est l’un des gestionnaires de mots de passe les plus populaires et il est très apprécié dans le monde de l’IT !
Une vulnérabilité contestée
Il est important de préciser que cette faille de sécurité hérite actuellement du statut « Disputed » comme on peut le voir sur le site américain du NIST, car l’éditeur de KeePass estime que la base de données de mots de passe n’est pas censée être protégée contre un attaquant disposant déjà d’un accès local sur un PC.
Toutefois, c’est une réaction un peu étonnante à mon sens. Même si l’attaquant dispose d’un accès local au PC, il est préférable que la base de mots de passe reste un coffre-fort inviolable et accessible uniquement en ayant connaissance du mot de passe maître.
Quoi qu’il en soit, il est recommandé d’appliquer la mise à jour sans attendre !