Kaspersky Password Manager générait des mots de passe trop faibles

Spread the love
  • Yum

Kaspersky Password Manager générait des mots de passe trop faibles

Dans un billet de blog qui clôt une saga de près de deux ans, Jean-Baptiste Bédrune, responsable de la recherche en sécurité chez Ledger Donjon, a décortiqué les méthodes mises en place par Kaspersky dans son gestionnaire de mot de passe.

“Kaspersky Password Manager utilisait une méthode complexe pour générer ses mots de passe. Cette méthode visait à créer des mots de passe difficiles à casser. Cependant, cette méthode réduit la force des mots de passe générés face aux outils dédiés”, écrit Bédrune.

publicité

Les caractères impopulaires

L’une des techniques utilisées par KPM consistait à faire apparaître plus fréquemment des lettres rarement utilisées. Selon Bédrune, cette méthode est probablement une tentative de tromper les outils permettant d’attaquer et de cracker par force brute les mots de passe.

“Leur méthode repose sur le fait qu’il y a probablement plus de ‘e’ et de ‘a’ dans un mot de passe créé par un humain que de ‘x’ ou de ‘j’, ou que les bigrammes ‘th’ et ‘he’ apparaîtront beaucoup plus souvent que ‘qx’ ou ‘zr'”, a-t-il déclaré.

“Les mots de passe générés par KPM seront, en moyenne, loin dans la liste des mots de passe testés par ces outils. Si un attaquant tente de craquer une liste de mots de passe générés par KPM, il attendra probablement assez longtemps avant de trouver le premier. C’est assez malin”.

Le revers de la médaille est que si un attaquant devine que KPM a été utilisé, les biais du générateur de mots de passe commencent à jouer contre lui.

“Si un attaquant sait qu’une personne utilise KPM, il sera en mesure de casser son mot de passe beaucoup plus facilement qu’un mot de passe totalement aléatoire. Notre recommandation est toutefois de générer des mots de passe aléatoires suffisamment longs pour éviter d’être cassés par un outil.”

Les huit coups de l’horloge

La grande erreur commise par KPM a été d’utiliser l’horloge du système en secondes comme seed dans un générateur de nombres pseudo-aléatoires Mersenne Twister.

“Cela signifie que chaque instance de Kaspersky Password Manager dans le monde va générer exactement le même mot de passe à une seconde donnée”, a déclaré Bédrune.

Comme le programme comporte une animation qui prend plus d’une seconde lors de la création d’un mot de passe, Bédrune a déclaré que cela pourrait expliquer pourquoi ce problème n’a pas été découvert.

“Les conséquences sont évidemment mauvaises : chaque mot de passe pourrait être visé par une attaque par force brute”, a-t-il déclaré.

“Par exemple, il y a 315619200 secondes entre 2010 et 2021, donc KPM pourrait générer au maximum 315619200 mots de passe pour un jeu de caractères donné. Une attaque par force brute sur cette liste ne prend que quelques minutes.”

Bédrune a ajouté que de nombreux sites indiquent souvent l’heure de création du compte, ce qui laisse les utilisateurs de KPM vulnérables à une attaque par force brute d’environ 100 mots de passe possibles.

Cependant, en raison d’une erreur dans le code conduisant à une out of bond read sur un tableau, Ledger Donjon a trouvé une petite quantité supplémentaire d’entropie.

“Bien que l’algorithme soit erroné, il rend les mots de passe plus difficiles à forcer dans certains cas”, indique le message.

Les versions de KPM antérieures à 9.0.2 Patch F sur Windows, 9.2.14.872 sur Android, ou 9.2.14.31 sur iOS ont été affectées, Kaspersky ayant remplacé le Mersenne Twister par la fonction BCryptGenRandom sur sa version Windows, indique l’équipe de recherche.

Kaspersky a été informé de la vulnérabilité en juin 2019, et a publié la version corrective en octobre de la même année. En octobre 2020, les utilisateurs ont été informés que certains mots de passe devraient être générés à nouveau, et Kaspersky a publié son avis de sécurité le 27 avril 2021.

“Toutes les versions publiques de Kaspersky Password Manager responsables de ce problème ont maintenant une nouvelle logique de génération de mots de passe et une alerte de mise à jour des mots de passe pour les cas où un mot de passe généré n’est probablement pas assez fort”, a déclaré l’entreprise de sécurité.

Source : “ZDNet.com”

Leave a Reply

%d bloggers like this: