Une vulnérabilité dans le gestionnaire de mots de passe open-source KeePass peut être exploitée pour récupérer le mot de passe principal dans la mémoire du logiciel, déclare le chercheur qui a découvert la faille.
La mauvaise nouvelle est que la vulnérabilité n’est toujours pas corrigée et qu’un outil d’exploitation PoC – bien nommé KeePass 2.X Master Password Dumper – est disponible publiquement, mais la bonne nouvelle est que le mot de passe ne peut pas être extrait à distance simplement en exploitant cette faille.
« Si vous avez de bonnes raisons de penser que quelqu’un pourrait avoir accès à votre ordinateur et procéder à une analyse médico-légale, ce n’est pas une bonne chose. Dans le pire des cas, le mot de passe principal sera récupéré, même si KeePass est verrouillé ou ne fonctionne pas du tout. »
Le problème concerne SecureTextBoxEx, la zone de texte personnalisée du logiciel qui permet de saisir le mot de passe principal et d’autres mots de passe lors de l’édition.
Lorsque l’on tape « Mot de passe », on obtient les chaînes de caractères suivantes : a, s, s, w, o, r, d. L’application POC recherche ces modèles dans la décharge et propose un caractère de mot de passe probable pour chaque position du mot de passe ».
La vulnérabilité affecte la branche KeePass 2.X pour Windows, et éventuellement pour Linux et macOS. Ce problème a été corrigé dans les versions de test de KeePass v2.54 – la version officielle est attendue pour juillet 2023.