Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

CVE-2023-32784 : que permet réellement cette vulnérabilité affectant KeePass ?

19 mai 2023 - 11:33,
Tribune - Charles Blanc-Rolin
Une nouvelle vulnérabilité a été récemment découverte dans le gestionnaire de mots de passe KeePass. Elle permet d’extraire de la mémoire d’un ordinateur, le mot de passe (en grande partie tout du moins) maître d’une base KeePass.

Tout à commencer par une discussion lancée le 1er mai sur la page SourceForge du projet KeePass [1], par une personne se présentant sous le pseudonyme « vdohney ». Après une réponse de Dominik Reichl, l’auteur du célèbre gestionnaire de mots de passe, vdohney annonce que sa preuve de concept mise à disposition sur Github [2] permet de récupérer « en clair », le mot de passe d’une base de données KeePass (verrouillée ou non), à l’exception du premier caractère. Un attaquant qui serait en mesure de réaliser un « dump » du processus, un « dump » complet de la mémoire ou qui accéderait au fichier d’hibernation (hiberfil.sys) ou encore de swap (pagefile.sys) pourrait donc facilement récupérer le mot de passe maître de la base KeePass d’un utilisateur.

Dominik Reichl a confirmé que la dernière version actuellement disponible KeePass 2.53.1 était vulnérable. D’après vdohney, il serait possible de réaliser la même chose sur un système macOS ou Linux. Cette vulnérabilité sera corrigée dans la version 2.54 qui devrait arriver courant juillet.

Ici le résultat du POC pour le mot de passe « P@55w0rd »
(Le premier caractère sera rapidement deviné ou « forcé »)

Même s’il faut relativiser sur les risques liés à cette vulnérabilité dans le sens où un attaquant devra en premier lieu avoir compromis le poste de sa victime, ce qui veut dire qu’il pourra certainement réaliser des actions ayant des conséquences bien plus dramatiques pour le système d’information auquel est raccroché l’ordinateur compromis (ce qu’il ne veut pas dire qu’elle ne doit pas être prise au sérieux), cette vulnérabilité nous rappelle bien l’intérêt d’avoir mis en place un mécanisme d’authentification à plusieurs facteurs pour ouvrir la porte de son coffre-fort de mots de passe.

Si KeePass se limite à l’utilisation d’un fichier clé en second facteur d’authentification, son fork KeePassXC [3] permet d’ajouter l’utilisation d’une clé physique, telle qu’une Yubikey pour le déverrouillage (et toutes modifications) de la base de données.

KeePassXC, compatible avec une base créée sous KeePass, présente d’autres avantages, au-delà du fait qu’il n’est pas vulnérable à la CVE-2023-32784, notamment des modules pour les navigateurs Web les plus connus, permettant la récupération automatique des identifiants, mots de passe et codes TOTP directement depuis une base ouverte sous KeePassXC, ce qui facilite grandement l’adoption par les utilisateurs, qui retrouvent le confort d’utilisation d’un mot de passe enregistré dans un navigateur Web, mais sans les risques associés ! La fenêtre masquée automatiquement sur tout partage d’écran, permet aussi de limiter les risques de « oups, j’ai glissé chef, tout le monde a vu mon mot de passe ! ».

La facilité d’exploitation de cette vulnérabilité à l’aide du POC fourni est assez déconcertante, comme il est possible de le constater dans la vidéo ci-dessous.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Domaine 2 du programme CaRE : une matinée pour se faire accompagner

Domaine 2 du programme CaRE : une matinée pour se faire accompagner

29 sept. 2025 - 11:30,

Actualité

- Valentine Bellanger, DSIH

Dans le cadre de son Tour de France, Orange Cyberdefense propose des matinales de rencontres et d’échanges autour d’une thématique très attendue : le Domaine 2 du programme CaRE (1). L’objectif : maîtriser les prérequis du programme CaRE et se faire accompagner pour bénéficier des soutiens financier...

Illustration Imprivata, éditeur international de solutions de gestion des accès, se développe sur le marché français pour répondre à la demande croissante en matière de sécurité et de conformité

Imprivata, éditeur international de solutions de gestion des accès, se développe sur le marché français pour répondre à la demande croissante en matière de sécurité et de conformité

22 sept. 2025 - 22:42,

Communiqué

- Imprivata

Imprivata, un éditeur international de logiciels, spécialisé dans la gestion des accès et des identités numériques pour le secteur de la santé et d’autres secteurs critiques, vient d’annoncer son expansion en France afin de répondre au besoin croissant d’améliorer leur sécurité et de se conformer au...

Illustration Intelligence artificielle : construire la confiance, renforcer les compétences

Intelligence artificielle : construire la confiance, renforcer les compétences

22 sept. 2025 - 22:31,

Tribune

-
Nausica MAIORCA

Dans moins de trois ans, l’Intelligence Artificielle sera présente dans 90 % des établissements de santé. Déjà adoptée par un tiers d’entre eux, elle impose de dépasser le mythe technologique pour affronter la question d’un usage éclairé.

Refuser de donner son mot de passe lors d’un arrêt maladie serait seulement un problème de désobéissance ? Bullshit.

22 sept. 2025 - 22:16,

Tribune

-
Cédric Cartau

Vous l’avez certainement vu passer, cet article [1] d’acteurspublic.fr qui commente la décision d’un tribunal administratif et qui affirme que « Refuser de donner son mot de passe lors d’un arrêt maladie peut être assimilé à de la désobéissance ». Sauf que l’histoire est un tantinet plus complexe e...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.