Il ya quelques jours un énorme scandale a été monté sur le net par une publication faite par Donjon (un cabinet de conseil en sécurité) dans lequel essentiellement discuté de divers problèmes de sécurité de "Kaspersky Password Manager" en particulier dans son générateur de mots de passe, car il a démontré que chaque mot de passe généré pouvait être piraté par une attaque par force brute.
Et c'est que le consultant en sécurité Donjon il a découvert que Entre mars 2019 et octobre 2020, Kaspersky Password Manager des mots de passe générés pouvant être déchiffrés en quelques secondes. L'outil utilisait un générateur de nombres pseudo-aléatoires qui était singulièrement inadapté à des fins cryptographiques.
Les chercheurs ont découvert que le générateur de mot de passe il avait plusieurs problèmes et l'un des plus importants était que PRNG n'utilisait qu'une seule source d'entropie Bref, c'est que les mots de passe générés étaient vulnérables et pas du tout sécurisés.
« Il y a deux ans, nous avons examiné Kaspersky Password Manager (KPM), un gestionnaire de mots de passe développé par Kaspersky. Kaspersky Password Manager est un produit qui stocke en toute sécurité les mots de passe et les documents dans un coffre-fort crypté et protégé par mot de passe. Ce coffre-fort est protégé par un mot de passe maître. Ainsi, tout comme les autres gestionnaires de mots de passe, les utilisateurs doivent se souvenir d'un seul mot de passe pour utiliser et gérer tous leurs mots de passe. Le produit est disponible pour différents systèmes d'exploitation (Windows, macOS, Android, iOS, Web…) Les données cryptées peuvent être automatiquement synchronisées entre tous vos appareils, toujours protégées par votre mot de passe principal.
« La principale caractéristique de KPM est la gestion des mots de passe. Un point clé avec les gestionnaires de mots de passe est que, contrairement aux humains, ces outils sont bons pour générer des mots de passe forts et aléatoires. Pour générer des mots de passe forts, Kaspersky Password Manager doit s'appuyer sur un mécanisme de génération de mots de passe forts ».
Au problème il a reçu l'indice CVE-2020-27020, où la mise en garde selon laquelle "un attaquant aurait besoin de connaître des informations supplémentaires (par exemple, l'heure à laquelle le mot de passe a été généré)" est valide, le fait est que les mots de passe Kaspersky étaient clairement moins sécurisés que les gens ne le pensaient.
"Le générateur de mots de passe inclus dans Kaspersky Password Manager a rencontré plusieurs problèmes", a expliqué l'équipe de recherche de Dungeon dans un article publié mardi. « La chose la plus importante est qu'il utilisait un PRNG inapproprié à des fins cryptographiques. Sa seule source d'entropie était le présent. Tout mot de passe que vous créez pourrait être brutalement cassé en quelques secondes. "
Dungeon souligne que la grosse erreur de Kaspersky a été d'utiliser l'horloge système en quelques secondes comme graine dans un générateur de nombres pseudo-aléatoires.
« Cela signifie que chaque instance de Kaspersky Password Manager dans le monde générera exactement le même mot de passe en une seconde donnée », explique Jean-Baptiste Bédrune. Selon lui, chaque mot de passe pourrait être la cible d'une attaque par force brute ». « Par exemple, il y a 315,619,200 2010 2021 secondes entre 315,619,200 et XNUMX, donc KPM pourrait générer un maximum de XNUMX XNUMX XNUMX mots de passe pour un jeu de caractères donné. Une attaque par force brute sur cette liste ne prend que quelques minutes."
Chercheurs de Dungeon a conclu:
« Kaspersky Password Manager a utilisé une méthode complexe pour générer ses mots de passe. Cette méthode visait à créer des mots de passe difficiles à déchiffrer pour les pirates de mots de passe standard. Cependant, une telle méthode réduit la force des mots de passe générés par rapport aux outils dédiés. Nous avons montré comment générer des mots de passe forts en utilisant KeePass à titre d'exemple : des méthodes simples comme les tirages au sort sont sûres, dès que vous vous débarrassez du « biais de module » en regardant une lettre dans une plage de caractères donnée.
« Nous avons également analysé le PRNG de Kaspersky et montré qu'il était très faible. Sa structure interne, une tornade Mersenne de la bibliothèque Boost, n'est pas adaptée à la génération de matériel cryptographique. Mais le plus gros défaut est que ce PRNG a été ensemencé avec l'heure actuelle, en secondes. Cela signifie que chaque mot de passe généré par les versions vulnérables de KPM peut être brutalement falsifié en quelques minutes (ou une seconde si vous connaissez à peu près le temps de génération).
Kaspersky a été informé de la vulnérabilité en juin 2019 et a publié la version du correctif en octobre de la même année. En octobre 2020, les utilisateurs ont été informés que certains mots de passe devraient être régénérés, et Kaspersky a publié son avis de sécurité le 27 avril 2021 :
« Toutes les versions publiques de Kaspersky Password Manager responsables de ce problème en ont désormais une nouvelle. Logique de génération de mot de passe et alerte de mise à jour de mot de passe pour les cas où un mot de passe généré n'est probablement pas assez fort », explique la société de sécurité
source: https://donjon.ledger.com
Les mots de passe sont comme des cadenas : il n'y en a pas un à 100 % sécurisé, mais plus il est complexe, plus le temps et les efforts nécessaires sont importants.
Assez incroyable, mais si vous n'avez pas accès à votre ordinateur, vous ne pouvez même pas accéder au professeur. De nos jours, tout le monde a son propre ordinateur, à moins qu'un ami de quelqu'un ne se rende chez lui et découvre par hasard que ce programme est installé.
Ils ont eu la chance d'avoir le code source du programme pour pouvoir comprendre comment ils ont été générés, si ça avait été un binaire, il faut d'abord le décompiler, ce qui est difficile, peu de gens comprennent le langage bit, ou directement par force brute sans comprendre comment ça marche.