KeeFarce – L’outil qui réduit KeePass à néant

7
771

Avec le logiciel open source KeeFarce, s’en est terminé du gestionnaire de mots de passe sécurisé KeePass ! Un chercheur a en effet trouvé un moyen de récupérer les précieux identifiants et mots de passe stockés sur KeePass 2.x directement en clair via la mémoire de la machine.

KeePass est un gestionnaire de mots de passe sécurisé incontournable depuis plusieurs années. Le chercheur en sécurité et hacker Néo-zélandais Denis Andzakovic a mis au point un outil open source permettant d’extraire tous les identifiants et mots de passe stockés sur KeePass au sein d’une machine visée, en s’attaquant directement à la mémoire. L’exploit fonctionne en local, et requiert que l’utilisateur ait déverrouillé sa session KeePass (en train de l’utiliser donc). Si ces deux points sont réunis, l’outil KeeFarce permet en un clic de récupérer toutes les données stockées sur la base de données sécurisée KeePass de l’ordinateur au format CSV, après avoir exploité une vulnérabilité via injection DLL.

keefarce-logo

Les chercheurs s’inquiètent déjà des retombées possible d’une telle exploitation, comme l’explique Ars Technica.

KeeFarce fonctionne avec l’ensemble des dernières versions de KeePass de la branche 2.x (en 32 et 64 bits). A noter que l’outil est open source, librement mis à disposition sur GitHub. Du coup, on imagine facilement que les cybercriminels vont s’empresser d’intégrer l’exploit dans leurs panoplie de malwares afin de faire des ravages !

Espérons que KeePass soit rapidement mis à jour et corrige cette vulnérabilité critique… mais il y a peu d’espoir car l’attaque est radicale et s’attaque directement à la mémoire de la machine physique. Du coup, non seulement, ça risque d’être impossible à contrer, mais en plus, la technique peut être portée à tous les autres gestionnaires de mots de passe sécurisés du même type !

7 Commentaires

  1. Si l’attaquant a accès physique au poste, que les sessions Windows et KeePass sont déverrouillées, il n’y a pas besoin de KeeFarce pour exporter les dmp.
    Si c’est inclus dans un malware pour usage à distance, on fait presque aussi bien avec un Keylogger et une exfiltration du fichier kdb de KeePass, et éventuellement du fichier clef pour ceux qui ont choisi l’option dans KeePass.
    Les plus paranos ou avertis peuvent utiliser KeePass sur un poste jamais connecté au réseau 🙂

Les commentaires sont fermés.