Analyse de sécurité de Dashlane
Un utilisateur m'a demandé si je recommanderais d'utiliser le gestionnaire de mots de passe Dashlane. Je suis conscient que d'autres gestionnaires de mots de passe ont eu des problèmes de sécurité importants, notamment XSS et CSRF (voir ci-dessous). Le gestionnaire de mots de passe Dashlane est-il vulnérable à ces problèmes? Quelqu'un a-t-il fait une analyse de sécurité indépendante pour voir s'il partage ces problèmes?
Par exemple, le document de recherche publié ci-dessous a analysé la sécurité de cinq gestionnaires de mots de passe populaires (LastPass, RoboForm, My1login, Passwordbox et NeedMyPassword) et a trouvé des failles de sécurité dans quatre des cinq:
- Le nouveau gestionnaire de mots de passe de l'empereur: analyse de sécurité des gestionnaires de mots de passe basés sur le Web . Zhiwei Li, Warren He, Devdatta Akhawe, Dawn Song. Symposium sur la sécurité Usenix, 2014.
Les vulnérabilités allaient des vulnérabilités XSS et CSRF de type jardin aux attaques plus obscures basées sur l'exploitation de bookmarklets et le fait qu'elles pouvaient être exécutées dans un contexte avec Javascript malveillant.
Cependant, ce document n'a pas analysé le gestionnaire de mots de passe Dashlane, peut-être parce qu'il n'a commencé que récemment à attirer l'attention et à capturer une part de marché importante.
Existe-t-il une analyse de sécurité accessible au public du gestionnaire de mots de passe Dashlane, par exemple, pour évaluer s'il est vulnérable à ce type de vulnérabilités, ou toute autre ressource ou directive pour aider les utilisateurs à décider s'ils doivent lui faire confiance pour être sécurisé?
Une analyse de sécurité a été réalisée en mai 2016:
Cette analyse tente de rechercher en grande partie les mêmes types de vulnérabilités que le Li et al. Paper cité dans la question. Ils ont recherché des attaques XSS, mais n'en ont trouvé aucun. Ils ont également pu contourner la fonctionnalité d'authentification de l'appareil de Dashlane. Dans l'ensemble, ils ont trouvé que Dashlane était assez sécurisé.
Ils ont analysé Dashlane version 4.1.1. Dashlane a depuis été mis à jour vers la version 4.6.8.
Tout ce qui stocke votre mot de passe sur un serveur en ligne hors de votre contrôle doit être considéré comme non sécurisé; il n'y a aucune raison valable pour que l'ensemble de votre collection de mots de passe quitte votre réseau domestique.
Le logiciel utilisé par votre service de gestion de mots de passe en ligne (ne s'applique pas uniquement à Dashlane) est très probablement une source fermée, vous ne savez rien de leurs procédures de sécurité ni si vos mots de passe sont vraiment cryptés ou simplement assis dans un passwords.txt fichier.
Deuxièmement, leur cryptage - supposons qu'ils utilisent une cryptographie standard de l'industrie qui n'est pas imparfaite, et la clé est votre mot de passe haché avec un hachage coûteux en calcul pour empêcher la force brute ... est superbe, non? Mais que se passe-t-il si un administrateur système, un développeur ou un attaquant voyous accède au serveur? Bien qu'il ne puisse pas décrypter directement la base de données, il peut modifier le code qui gère la connexion pour capturer votre mot de passe et attendre que vous vous connectiez. De plus, vous ne pouvez pas être une cible de haut niveau et aucun attaquant ne perdrait son temps à compromettre vous, mais ici, l'attaquant vise plutôt à compromettre l'ensemble du service de gestion des mots de passe pour obtenir les laissez-passer pour tous les utilisateurs, pas seulement pour vous.
Ensuite, il y a l'application de la loi, ils peuvent presque toujours forcer l'entreprise à divulguer vos mots de passe; si les bases de données sont cryptées, elles utiliseront probablement l'approche indiquée ci-dessus et attendront que vous vous connectiez. Bien que les mots de passe pour la plupart des services en ligne n'aient pas beaucoup de valeur car les forces de l'ordre peuvent également les forcer à divulguer vos données, les mots de passe des services dans d'autres pays (où LA n'a aucune autorité) ou vos serveurs/lecteurs cryptés sont très précieux pour eux.
Comparez maintenant cela à une base de données Keepass stockée localement sur un disque dur éventuellement chiffré, où un attaquant devrait soit voler physiquement la machine (puis chiffrer brutalement le disque et le mot de passe de la base de données), le modifier (ajouter un enregistreur de frappe et attendre que vous vous connectiez dans et décrypter la passe DB), ou compromettre à distance ce qui ne vaut pas son temps si vous n'êtes pas une cible de haut niveau et est souvent difficile.