Faille dans Keepass

Discussions (hors Support)
3 messages • Page 1 sur 1

Faille dans Keepass

Messagede LiberOkay » 16 Juin 2016, 09:35

Un article de Korben parle d'une faille qui a été découverte dans Keepass il y a quelques jours :
http://korben.info/utilisateurs-de-keepass-pensez-a-faire-mise-a-jour.html

Grâce à cette attaque de type man in the middle, il est possible de proposer une copie modifiée de Keepass à la victime. (Pour lui voler ensuite ses mots de passe)


Il faut faire une mise à jour pour régler le problème.
W7 Edition Intégrale - ESET Smart Security - DirectX 11
Avatar de l’utilisateur
LiberOkay
Senior Boarder
Senior Boarder
 
Messages: 492
Inscription: 17 Août 2008, 09:55
Localisation: Bretagne

Re: Faille dans Keepass

Messagede leeonell » 16 Juin 2016, 11:47

Oui il faut dans tous les cas.

Mais cela n’impacte que le canal de mise à jour interne de KeePass, dans la mesure où la mise à jour doit se faire via la liberkey et non par KeePass directement (on est pas censé mettre à jour via les applis mais uniquement via la liberkey)
c'est normalement moins problématique.
« Pour réussir, il ne suffit pas de prévoir. Il faut aussi savoir improviser. » I. Asimov

Le problème avec les gens qui réclament la transparence, c'est que ce sont souvent eux qui se trouvent derrière le miroir sans tain ... :ninja:
Avatar de l’utilisateur
leeonell
Team LiberKey
Team LiberKey
 
Messages: 139
Inscription: 14 Octobre 2008, 15:09
Localisation: Dans le nexus

Re: Faille dans Keepass

Messagede Dji » 16 Juin 2016, 12:25

Les notifications de mises à jour sont normalement désactivées. Mais les utilisateurs peuvent quand même les activer et dans ce cas-là, ils sortent volontairement du champ de contrôle des applications que nous intégrons dans la Liberkey.
Pour faire court, de mon point de vue nous n'avons pas à être plus réactif que ça sur le sujet.

C'est le processus de notification de mise à jour lui-même qui n'est pas sécurisé (via un appel HTTP au lieu d'un appel HTTPS), pas la mise à jour elle-même qui reste sous le contrôle de l'utilisateur (et manuelle !) et où l'on peux vérifier les signatures du site où télécharger l'exe.
La notification est sensible à une attaque de l'homme du milieu, déjà faudrait que l'utilisateur sont "spécifiquement" ciblé et ce n'est pas en allant sur un site en particulier qu'on est concerné. Si ça concerne 0,0000001% des utilisateurs Liberkey, c'est déjà une extrapolation !

http://keepass.info/help/kb/sec_issues.html#updsig
Automatic Update Vulnerability

There have been some articles about automatic KeePass updates being vulnerable. This section clarifies the situation and its resolution.

First of all, we would like to note that KeePass cannot update itself. KeePass does support checking for updates (optional; by downloading a version information file, comparing the available with the installed version number, and displaying a notification if necessary). However, it neither downloads nor installs any new version automatically. Users have to do this manually.

KeePass can be downloaded from many servers (SourceForge with its many mirror servers, FossHub, etc.). In order to make sure that the downloaded file is official, users should check whether the file is digitally signed (Authenticode; all KeePass binaries are signed, including the installer, KeePass.exe and all other EXE and DLL files). The digital signature can be checked using Windows Explorer by right-clicking the file -> 'Properties' -> tab 'Digital Signatures' (the expected signer name is 'Open Source Developer, Dominik Reichl'). When running the installer, the UAC dialog displays the digital signature information, i.e. users who carefully read the UAC dialog do not have to inspect the file properties separately. This is recommended for all users, independent of where you download KeePass from.

The KeePass website links to SourceForge for downloading KeePass. However, even if SourceForge (or the KeePass website) is compromised and serves a malicious download, users who check the digital signature will notice the attack and will not run the malware. Note that HTTPS cannot prevent an attack via a compromise of the download server; checking the digital signature does.

The version information file is downloaded from the KeePass website over HTTP. Thus a man in the middle (someone who can intercept your connection to the KeePass website) could have returned an incorrect version information file, possibly making KeePass display a notification that a new KeePass version is available. However, the next steps (downloading and installing the new version) must be carried out by the user manually, and here users who check the digital signature will notice the attack.

Resolution. In order to prevent a man in the middle from making KeePass display incorrect version information (even though this does not imply a successful attack, see above), the version information file is now digitally signed (using RSA-4096 and SHA-512). KeePass 2.34 and higher only accept such a digitally signed version information file. Furthermore, the version information file is now downloaded over HTTPS.
"Si boire des coups, aller au concert ou au match, ça devient un combat
Alors tremblez, terroristes !
Parce qu'on est surentraînés !"
@glecalot
Avatar de l’utilisateur
Dji
Administrator
Administrator
 
Messages: 3724
Inscription: 28 Novembre 2007, 09:57
Localisation: Quelque part entre les ombres


3 messages • Page 1 sur 1

Retourner vers Discussions générales

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 69 invités