KeePass est un gestionnaire de mots de passe permettant de stocker l’ensemble de ses mots de passe dans un fichier chiffré qui sera accessible via une clé maîtresse.
L’implémentation de la vérification des mises à jour au sein de KeePass ne respecte pas les règles d’hygiène de la sécurité informatique. En effet, cette vérification est faite via une requête HTTP, la communication entre le gestionnaire de mot de passe et le serveur de mise à jour est donc faite de manière non chiffrée et non signée.
Il est donc possible pour un attaquant, via une attaque par l’homme du milieu, d’intercepter et de modifier ces requêtes à la volée afin de rediriger l’utilisateur vers une page de téléchargement malveillante.
Ce problème d’implémentation a un numéro de CVE (CVE-2016-5119) et affecte toutes les versions de KeePass 2 jusqu’à la version 2.33.
http://www.cert.ssi.gouv.fr/site/CERTFR-2016-ACT-023/CERTFR-2016-ACT-023.html
L' INTELLIGENCE CYBER par Jean-Paul Pinte 
Laisser un commentaire