![[Rumeur]Xiaomi : avènement du Xiaomi 13 Ultra le 17 Avril 2023, à partir de 13 heures ! (heure d’été française…)](https://blog.sosordi.net/wp-content/uploads/2023/03/xiaomi_xiaomi-13-ultra-330x180.jpg?x90172 "[Rumeur]Xiaomi : avènement du Xiaomi 13 Ultra le 17 Avril 2023, à partir de 13 heures ! (heure d’été française…)")
![[A venir !] Xiaomi : avènement du Redmi Note 12 Turbo, le 28 Mars 2023, à partir de 13 heures ! (heure d’été française…)](https://blog.sosordi.net/wp-content/uploads/2023/03/xiaomi_redmi-note-12-turbo_01-330x180.jpg?x90172 "[A venir !] Xiaomi : avènement du Redmi Note 12 Turbo, le 28 Mars 2023, à partir de 13 heures ! (heure d’été française…)")
![[MAJ 10 / 03]”Quand déployons-nous le nouveau variant ?”, “project fear”… ex-filtration de messages WhatsApp entre dirigeants du Royaume-Uni ! (Lockdown files…)](https://blog.sosordi.net/wp-content/uploads/2023/03/royaume-uni_lockdown-files_covid19_01-330x180.jpg?x90172 "[MAJ 10 / 03]”Quand déployons-nous le nouveau variant ?”, “project fear”… ex-filtration de messages WhatsApp entre dirigeants du Royaume-Uni ! (Lockdown files…)")
![[Le récap’ !][MAJ 23 / 03]Smartphones, montre, écouteurs, tablettes… Huawei prépare son offensive technologique, le 23 Mars 2023 !](https://blog.sosordi.net/wp-content/uploads/2023/03/huawei_p60-series-330x180.jpg?x90172 "[Le récap’ !][MAJ 23 / 03]Smartphones, montre, écouteurs, tablettes… Huawei prépare son offensive technologique, le 23 Mars 2023 !")
![[MAJ 22 / 03]”Un service d’IA conversationnel expérimental, propulsé par LaMDA” : Google dégaine sa solution sous Intelligence Artificielle nommée Bard !](https://blog.sosordi.net/wp-content/uploads/2023/02/google_bard-330x180.jpg?x90172 "[MAJ 22 / 03]”Un service d’IA conversationnel expérimental, propulsé par LaMDA” : Google dégaine sa solution sous Intelligence Artificielle nommée Bard !")
![[A venir !]Google I / O 2023 : les annonces de l’éditeur, le 10 Mai 2023 !](https://blog.sosordi.net/wp-content/uploads/2023/03/google_google-i-o-2023-330x180.jpg?x90172 "[A venir !]Google I / O 2023 : les annonces de l’éditeur, le 10 Mai 2023 !")
36.png){kind=small}
Tags populaires
0
Le 27 Janvier 2023, le CERT (Belgique) alertait sur une vulnérabilité dans le gestionnaire de mots de passe KeePass : en creux insécuritaire, une autorisation illégitime permet de modifier et d’injecter du code malicieux depuis le fichier de configuration .XML avec, en finalité, l’ex-filtration des mots de passe en clair. Vulnérabilité assignée CVE-2023-24055, elle serait portée à la connaissance des éditeurs depuis, au moins, 2019…
Voici, à l’époque et depuis 2019, le discours (intégral) tenu par les éditeurs et les actions pouvant prémunir d’une éventuelle cyber-attaque qui n’en serait “pas vraiment” une, en terme de vulnérabilité :
“Un attaquant disposant d’un accès en écriture au fichier de configuration de KeePass peut le modifier de manière malveillante (par exemple, il pourrait injecter des triggers malveillants). Ce n’est pas vraiment une vulnérabilité de sécurité de KeePass.
- Si l’utilisateur a installé KeePass à l’aide du programme d’installation, le fichier de configuration est stocké dans le répertoire de données d’application de l’utilisateur (dans “%APPDATA%\KeePass”), qui se trouve dans le répertoire du profil utilisateur (“%USERPROFILE%”). Dans ce cas, avoir un accès en écriture au fichier de configuration KeePass équivaut généralement à avoir un accès en écriture au répertoire du profil utilisateur. Une personne disposant d’un accès en écriture au répertoire du profil utilisateur peut effectuer divers types d’attaques. Par exemple, l’attaquant pourrait ajouter un malware dans le dossier de démarrage (“%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup” ; le malware s’exécutera automatiquement après la prochaine connexion de l’utilisateur), modifier les raccourcis du bureau (dans “%USERPROFILE %\Desktop”), manipuler le registre de l’utilisateur (fichier “%USERPROFILE%\NTUSER.DAT”), modifier les fichiers de configuration d’autres applications (par exemple pour qu’un navigateur ouvre automatiquement un site Web malveillant), etc ;
- Si l’utilisateur utilise la version portable de KeePass, le fichier de configuration est stocké dans le répertoire de l’application (qui contient le fichier “KeePass.exe”). Dans ce cas, avoir un accès en écriture au fichier de configuration KeePass équivaut généralement à avoir un accès en écriture au répertoire de l’application. Avec cette capacité, un attaquant peut par exemple simplement remplacer le fichier “KeePass.exe” par un malware.
Dans les deux cas, avoir un accès en écriture au fichier de configuration de KeePass implique généralement qu’un attaquant peut en réalité effectuer des attaques beaucoup plus puissantes que la modification du fichier de configuration (et ces attaques au final peuvent également affecter KeePass, indépendamment d’une protection du fichier de configuration).
Ces attaques ne peuvent être prévenues qu’en sécurisant l’environnement (en utilisant un logiciel anti-virus, un pare-feu, en n’ouvrant pas les pièces jointes inconnues, etc.). KeePass ne peut pas fonctionner comme par magie en toute sécurité dans un environnement non sécurisé“.
Du fait, donc, qu’il n’y aura pas de correctif (pour l’heure ?… il n’est pas impossible que les éditeurs puissent changer d’avis, ne serait-ce que pour les utilisateurs lambda), le CERT préconise une atténuation de cette vulnérabilité, faute de mieux, en exploitant la fonctionnalité de la configuration forcée : habituellement usitée par les administrateurs initiés (pour personnaliser des paramètres dont réseau, par exemple), ce type de configuration peut être modifié en notant que son efficacité sera totale si l’utilisateur en bout de chaîne (sans permission, sans privilège) ne peut pas modifier ce fichier en question, bien évidemment. De même, il faudra que ce fichier de configuration (modifié) réside dans le même répertoire ou dossier que le KeePass.
Plus d’informations :
“Les organisations peuvent également envisager de passer à un autre gestionnaire de mots de passe prenant en charge les coffres-forts de mots de passe KeePass“, est-il ajouté par le CERT… A veiller !
Sources :
- KeePass (forum SourceForge) – 8 Décembre 2022 – Lecture des mots de passe en clair + exportation (discussion) ;
- CERT-BE – 27 Janvier 2023 – KeePass : vulnérabilité permettant d’ex-filtrer les mots de passe en clair et d’injecter du code malicieux.
