Bitwarden a retenu les services de la société de sécurité allemande Cure 53 pour auditer la sécurité des logiciels et des technologies Bitwarden utilisés par le service de gestion des mots de passe.
Bitwarden est un choix populaire pour les gestionnaires de mots de passe. il est open source, les programmes sont disponibles pour tous les principaux systèmes d’exploitation de bureau, les plateformes mobiles Android et iOS, le Web, des extensions de navigateur et même la ligne de commande.
Cure 53 a été embauché pour "effectuer des tests d'intrusion dans les boîtes blanches, un audit du code source et une analyse cryptographique de l'écosystème d'applications Bitwarden et des bibliothèques de codes associées".
Bitwarden a publié un document PDF qui met en évidence les conclusions de l'entreprise de sécurité lors de l'audit et de la réponse de l'entreprise.
Le terme de recherche a mis au jour plusieurs vulnérabilités et problèmes dans Bitwarden. Bitwarden a modifié son logiciel pour résoudre immédiatement les problèmes urgents; la société a modifié le fonctionnement des identifiants de connexion en limitant les protocoles autorisés.
La société a mis en place une liste blanche autorisant les schémas https, ssh, http, ftp, sftp, irc et chrome uniquement au moment opportun et non d'autres schémas tels que le fichier.
Selon l'analyse des problèmes effectuée par Bitwarden, les quatre vulnérabilités restantes que le terme de recherche avait trouvées au cours de l'analyse ne nécessitaient pas d'action immédiate.
Les chercheurs ont critiqué la règle de l'application de mot de passe principal laxiste de l'application, qui consiste à accepter n'importe quel mot de passe principal à condition qu'il contienne au moins huit caractères. Bitwarden prévoit d'introduire des vérifications de la force du mot de passe et des notifications dans les versions futures pour encourager les utilisateurs à sélectionner des mots de passe principaux, plus solides et plus difficilement lisibles.
Deux des problèmes nécessitent un système compromis. Bitwarden ne change pas les clés de cryptage lorsqu'un utilisateur modifie le mot de passe principal et un serveur d'API compromis peut être utilisé pour voler des clés de cryptage. Bitwarden peut être configuré individuellement sur une infrastructure appartenant à l'utilisateur individuel ou à la société.
Le dernier problème a été découvert dans la gestion de la fonctionnalité de remplissage automatique de Bitwarden sur des sites utilisant des iframes intégrés. La fonctionnalité de remplissage automatique vérifie uniquement l'adresse de niveau supérieur et non l'URL utilisée par les iframes incorporés. Des acteurs malveillants pourraient donc utiliser des iframes intégrés sur des sites légitimes pour voler des données de remplissage automatique.
Maintenant vous : Quel gestionnaire de mot de passe utilisez-vous, pourquoi?
