Le gestionnaire KeePass est touché par une vulnérabilité qui permet à l’attaquant de récupérer le mot de passe principal des victimes exposées.
« Une faille exploitable sur Windows, macOS et Linux »
Ouf, j’ai eu peur que tous les OS soient concernés…
3 « J'aime »
Tout ceux qui critiquaient les gens qui utilise des bitwarden 1password… Et la quelques mois pour fix le probleme, donc on laisse une faille connu traîné car la flemme de sortir 1 vers avant les nouveauté
Le comble, sinon Clubic y’aurait pas un moyen de faciliter l’interaction avec les commentaires, le nouveaux système est pénible !!?
7 « J'aime »
Non, simplement car la faille n’est vraiment pas critique, puisque pour l’exploiter il faut déjà réussir à prendre la main sur la machine, et avec un niveau de privilèges élevé : à ce stade il y a de toute façon aussi d’autres moyens de chopper le mot de passe maître (y compris ceux de logiciels concurrents), comme un keylogger par exemple (et ça tombe bien, parce que le contournement pour se protéger de cette faille, il protège aussi contre les keyloggers)…
8 « J'aime »
He beh, et dire que 1Password a récemment sortie son truc solution biométriques… bonne chance a ces services cloud lol.
C’est aussi pour cela qu’il est fortement recommandé d’utiliser KeyPassXC, un fort du keypass original (xc pour crossplateform parce que dispo sur toutes les plateformes) qui lui est activement développé et suivi (contrairement à KeyPass qui lui date et n’est plus trop suivi).
De plus xc propose quantité de fonctionnalités supplémentaires et modernes comme l’autocompletion d’un formulaire Web, l’utilisation de 2FA ou de yubikey…
Attention le passage à keyPassXC change le format de la DB contenant les mots de passe empêchant tout retour en arrière possible
2 « J'aime »
« Si vous possédez un compte KeePass, vous ne risquez rien, a priori, car l’attaquant doit d’abord avoir compromis votre appareil. » Hein, qué compte ? C’est une appli offline.
Sinon comme dit plus haut, pour avoir un dump mémoire d’une machine sans que le proprio s’en rende compte c’est que t’a pas que son keepass qui est compromis. Et il y a heureusement moultes contournement pour limiter le risque en attendant le patch. En fait il n’y a que ceux qui se font saisir physiquement leur matos par suprise (les criminels, mais malheureusement aussi les opposants politiques) qui risquent quelque chose. Même si j’imagine que pour les opposants, il y a des moyens plus medievaux d’obtenir leur mot de passe que l’ingénierie informatique.
2 « J'aime »
Ça vaut pas des post-it jaunes, scotchés sur l’écran …
3 « J'aime »
Après pour la plupart des gens qui utilisent Keepass suffit de récupérer le mot de passe dans un raccourci car ça agace vite de devoir taper un mot de passe pour obtenir un autre mot de passe.
2 « J'aime »
Il y a une différence entre un défaut de protection conscient et non annoncé de la part de l’éditeur dont les données clients en ligne se font pomper et un gestionnaire de mot de passe ayant une faille nécessitant l’accès physique (ou une corruption assez avancée que pour pouvoir dumper la mémoire) au poste… à un moment où la clé principale réside en mémoire.
Reste que, pour ma part, ma db keepass nécessite deux éléments pour être déverrouillée…
Je pensais que cela avait été déjà fait, mais il semble que non.
Bref, je viens de le remonter à la team Clubic. 
5 « J'aime »
Ca peut marcher.
Par exemple, tu écris les 8 premiers caractères sur le post-it, et tu retiens les 8 derniers.
1 « J'aime »
Android n’a pas l’air concerné 
Un fork? Keepass est écrit en C#, et XC en C++. Ca me parait bizarre. Pour info il y a des applis sur android qui permettent de lire et d’écrire des bases de données KeePass.
J’utilise Keypass pour les accès les plus courants, mais coordonnées bancaires ne sont pas dans Keypass.
Bien vu
Je me suis dit un peu la même chose aussi
Cette différence de langage, et du coup de framework, avec l’impact que ça a sur l’intégration de l’application avec l’OS est d’ailleurs un des arguments avancés par KeePassXC en sa faveur.
Ce n’est pas un fork, c’est comme les versions mobiles, ils ont écrit une application compatible en se basant sur le format de fichier de KeePass.
2 « J'aime »
Android n’est pas concerné parce que KeePass n’existe pas officiellement pour Android. La faille de KeePass concerne bien tous les OS sur lesquels il tourne.
En pratique, ça doit être possible de le faire tourner avec des outils qui packagent des applis Linux pour Android, comme ça a été fait pour OpenOffice, et la faille sera alors bien là…
Mais on pourra dire que comme la news ne dit pas GNU/Linux mais Linux, ça englobe Android, puisqu’il utilise bien un noyau Linux ^^
Sous Linux, je suis à la version 2.66 de KeePassXC. J’avoue que je ne connais pas la différence avec la version « normale ».
C’est un peu comme MS Office et Libre Office. Ça utilise le même format de fichier, mais ce sont deux logiciels complètement différents.
Bon, j’exagère peut-être un peu, car comme KeePass est open source les auteurs de KeePass XC ont pu s’inspirer directement du code de KeePass pour certaines portions, ce que n’ont pas pu faire les auteurs de LibreOffice avec MS Office. Mais il n’y a quand même pas directement de code commun, puisqu’ils sont écrits dans des langages différents.