Nouveautés + tendances
De nouveaux outils pour de vieux problèmes : les mots de passe Windows faibles sont ciblés
par Florian Bodoky
Gestionnaires de mots de passe : l'ETH Zurich met en lumière des failles de sécurité
17/2/2026
Traduction : traduction automatique
Une analyse de l'ETH Zurich montre que les gestionnaires de mots de passe dans le cloud comme Bitwarden ou LastPass sont parfois plus vulnérables que ce qui est annoncé.
Des chercheurs de l'ETH Zurich ont examiné de près plusieurs gestionnaires de mots de passe connus et ont découvert des failles importantes. L'essai portait sur les services basés sur le cloud «Bitwarden», «LastPass» et «Dashlane». Résultat : la sécurité promise ne tient pas ses promesses sur tous les points.
Que font exactement les gestionnaires de mots de passe?
Les gestionnaires de mots de passe stockent les données d'accès dans un coffre-fort numérique crypté. Vous vous connectez avec un mot de passe principal et pouvez ainsi accéder à tous les logins enregistrés. De nombreux services synchronisent les données via le cloud afin qu'elles soient disponibles sur smartphone, ordinateur portable ou tablette.
Zero Knowledge une fausse promesse ?
Les fournisseurs font la promotion de ce qu'ils appellent le principe du "zero-knowledge". Cela signifie que seuls les utilisateurs sont censés pouvoir décrypter leurs mots de passe, et que les fournisseurs ne sont pas concernés. En théorie, cela semble prometteur.
L'analyse de l'ETH montre toutefois que cela ne fonctionne pas toujours : Dans plusieurs essais, ils ont réussi à contourner les mécanismes de protection ou à détourner des informations sensibles. Pour cela, ils ont délibérément manipulé la communication entre le programme et le serveur ou ont simulé un serveur compromis.
Dans un cas, le logiciel a accepté des paramètres de cryptage non sécurisés parce que le serveur avait adapté ses réponses en conséquence. Dans d'autres cas, des informations supplémentaires (appelées métadonnées) ont permis de tirer des conclusions sur le contenu stocké. Le cryptage proprement dit était toujours présent, mais l'ensemble du système présentait des vulnérabilités qui pouvaient être exploitées. Selon l'équipe de recherche, les entreprises concernées ont été informées à l'avance. Certains fournisseurs ont procédé à des ajustements avant même que l'étude ne soit rendue publique.
Un nouvel outil d'analyse a également été créé dans le cadre de l'étude. Il permet de vérifier systématiquement les processus cryptographiques dans les gestionnaires de mots de passe basés sur le cloud. L'outil, appelé ZK-AE-Tester, a été mis à disposition par les chercheurs via la plateforme zkae.io. Les développeurs peuvent l'utiliser pour tester si leurs systèmes présentent des vulnérabilités similaires. Les chercheurs de l'ETH souhaitent ainsi faciliter les tests indépendants et augmenter la transparence.
Les fournisseurs promettent de s'améliorer
Photo d’en-tête : Shutterstock
Depuis que j'ai découvert comment activer les deux canaux téléphoniques de la carte RNIS pour obtenir une plus grande bande passante, je bricole des réseaux numériques. Depuis que je sais parler, je travaille sur des réseaux analogiques. Un Winterthourois d'adoption au cœur rouge et bleu.
Sécurité
Suivez les thèmes et restez informé dans les domaines qui vous intéressent.
Nouveautés + tendances
Du nouvel iPhone à la résurrection de la mode des années 80. La rédaction fait le tri.
Tout afficher
