Même si la faille a été corrigée, il n’en reste pas moins que la question de la sécurité des données est à nouveau sur le devant de la scène. Microsoft propose comme gestionnaire de mots de passe préinstallé sur Windows 10, la solution Keeper, une bien mauvais choix d’utilitaire, puisqu’il était possible d’obtenir les identifiants des utilisateurs depuis n’importe quel site web.
Keeper: un gestionnaire de mots de passe dangereux ?
Keeper a réagi rapidement en proposant un correctif, mais le mal est fait comme on le dit souvent. Concrètement, le chercheur Tavis Ormandy a pu mettre la main sur une faille de sécurité qui permet à « n’importe quel site web de voler n’importe quel mot de passe » dans le gestionnaire Keeper.
Ce qui n’est vraiment pas rassurant, c’est que le spécialiste en sécurité avait déjà mis le doigt sur une faille du même genre en 2016 sur Keeper… Ce dernier a d’ailleurs indiqué à propos de cette nouvelle découverte « Je n’ai changé que les sélecteurs et la même attaque fonctionne à nouveau ». Un mauvais coup de pub pour Microsoft dans le domaine de la sécurité, causé par l’un des nombreux partenariats qu’il a tissé avec des éditeurs pour proposer des logiciels préinstallés dans Windows 10.
Keeper, a donc fait son mea culpa, désactivé la fonction sur l’ancienne version et proposé une mise à jour. L’actualisation s’est d’ailleurs effectuée automatiquement sur l’extension des navigateurs Edge, Chrome et Firefox. Pour Safari, la manipulation est à effectuer manuellement.
D’après les entreprises, aucun utilisateur n’aurait été piraté par le biais de cette faille.
