Skip to content
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Gestionnaires de mot de passe sous Android – Attention à la fuite…

Si vous utilisez un gestionnaire de mot de passe de type Lastpass, SecureSafe, RoboForm et d’autres, il y a un truc sur lequel j’aimerai attirer votre attention.

Lorsque vous utilisez un logiciel client de ce genre sous Android, celui propose généralement de remplir automatiquement les champs login et mot de passe de vos sites web ET de vos applications. Si ce n’est pas le cas, ce qu’on fait tous en général, c’est d’aller dans le gestionnaire de mot de passe, copier le mot de passe et le coller dans le champ qui va bien.

Dans les 2 cas, grave erreur ! Car il est très simple pour une application tierce tournant sur votre téléphone, d’intercepter le contenu du presse papier. Évidemment, et contrairement aux versions desktop, il n’y a pas d’API sous Android et les navigateurs mobiles pour permettre de passer des mots de passe de manière sécurisée. Les développeurs de ces gestionnaires de mot de passe mobile ont donc dû trouver un moyen détourné de transmettre ce login et ce mot de passe et cela se fait via le presse papier.

Voici la liste des applications testées par les chercheurs qui soulèvent ce problème :

tests

Il faut que vous ayez bien conscience de ça avant d’utiliser de tels logiciels. N’importe quelle app vérolée installée sur votre smartphone peut récupérer ces identifiants et les transmettre dans votre dos à d’affreux criminels. Pour démontrer cette possibilité, le développeur Xbao a mis au point un soft baptisé ClipCaster qui intercepte tout simplement le contenu de votre presse papier (et donc vos logins et vos mots de passe). Il s’agit d’un proof of concept pour montrer que ça fonctionne…

clipcaster

Les chercheurs en sécurité qui soulèvent ce problème proposent 2 solutions pour arranger ça. La première consiste à modifier le presse-papier d’Android afin de le segmenter et le sécuriser pour que seules les applications autorisées puissent accéder à son contenu. La seconde possibilité passe par un soft de clavier qui pourrait communiquer avec les gestionnaires de mot de passe via une API et transmettre le mot de passe en toute sécurité aux sites et aux applications. Je pense que Swiftkey a un coup à jouer sur ce créneau. Voici comment ça se passerait en théorie :

usb

Mais attention, rien de tout cela n’existe pour le grand public… Donc ce que je vous recommande si vous utilisez un gestionnaire de mot de passe sous Android, c’est d’afficher en clair votre mot de passe, de le mémoriser et d’aller le retaper vous-même dans le bon champ. Bref, d’utiliser votre mémoire comme d’un presse papier ;-)Autrement, choisissez bien votre gestionnaire de mot de passe, car certains ne sont pas sérieux lorsqu’ils communiquent avec les serveurs (dans le cas de mots de passe stockés dans le cloud). Si la TLS (couche de chiffrement) n’est pas correctement implémentée, il est possible via une attaque Man In The Middle (MITM) d’intercepter votre identifiant principal (login+pass) pour déverrouiller cette base de mots de passe. C’est le cas par exemple de RoboForm et SecureSafe qui échouent lors de la vérification des certificats TLS, laissant la porte ouverte aux interceptions MITM. Par contre sur LastPass, les chercheurs n’ont pas réussi à pratiquer d’attaque MITM, car la vérification des certificats TLS se fait bien.Maintenant vous savez…

Merci à Nicola pour le partage.


Vos cartes PlayStation Network en promo avec Eneba et Korben

— Article en partenariat avec Eneba —

Si vous possédez une PlayStation, voilà un bon plan qui pourrait vous plaire. Grâce à Eneba, vous allez pouvoir faire quelques économies. Histoire de bien commencer l’année avec la nouvelle PS5 que vous avez reçue lors des fêtes de fin d’année dernière (sinon ça marche aussi avec les PS3 et PS4). Eneba vous propose, notamment, des cartes PlayStation Network avec jusqu’à 16% de réduction par défaut (valeur 50€, mais certains vendeurs la propose dés 41.89€ soit 44.54€ avec les frais). A quoi vous pouvez ajouter le code KORBEN vous bénéficiez en de 3% supplémentaire donc 43.21€ TTC au final (à entrer lors de la validation de votre achat).

Il est tout beau ce code non ?

Eneba c’est quoi ?

Pour ceux qui ne connaissent pas encore, Eneba c’est une place de marché en ligne qui propose un tas de produits numériques liés en grande partie au jeu vidéo, le plus souvent avec des promotions assez intéressantes. Le site est rapide, assez complet, sécurisé et moins cher, pourquoi se priver ?

La boutique propose beaucoup de contenu pour les plateformes de jeux parmi les plus connues (Steam, GOG, Uplay, Origin, Epic Games, Nintendo Switch, Xbox & co), de nombreuses cartes cadeaux (Amazon, Blizzard, Google Play, Nintendo eShop, Netflix, Spotify & co) mais aussi des abonnements, des points de jeu ou encore des logiciels. Bref il y en a pour tous les profils.

Promotions sur les meilleurs jeux avec eneba.com !

Que faire avec ma Carte PlayStation Network (PSN50) ?

Le crédit d’achat des différentes cartes PSN (de 5€ et jusqu’à 100€) vous permettra d’accéder à tous les produits du PlayStation Network :

  • les jeux récents : NBA2K21, FIFA21, Spider-Man : Miles Morales , les nouveaux bundles Fortnite, etc.
  • les jeux en précommandes
  • les DLC
  • des films et séries (si vous avez déjà un abo PS+)

Et pour le cas ou vous vous poseriez la question, il n’y a pas d’anguille sous roche, oui les produits sont bien activés sur la plateforme officielle PSN. Eneba a d’ailleurs comme partenaires des boites solides comme Konami, Ci Games ou Team17 (Worms, Project-X …). La boutique en ligne vérifie de manière approfondie la fiabilité de chaque vendeur sur sa place de marché (état des stocks, légalité …) pas de risques d’arnaques. Ils sont de plus très bien notés sur Trustpilot.

Attention tout de même, pour bénéficier de l’offre votre compte devra être enregistré en France. Par contre le crédit sur la carte n’a pas de date d’expiration, vous en disposerez jusqu’à épuisement.

À qui s’adresse la carte cadeau PSN ?

À n’importe qui désirant faire quelques économies. Un petit pourcentage ici et là ça finit par compter, surtout chez les gros joueurs qui ont besoin parfois d’une ou plusieurs cartes chaque mois.

Mais c’est aussi un cadeau idéal à offrir si vous connaissez un joueur sur PlayStation, mais que vous ne savez pas ce qu’il aime ou ce qu’il possède déjà. Où dont l’anniversaire est dans plusieurs mois (vous achetez moins cher aujourd’hui tant que l’offre promo existe et vous gardez la carte jusqu’à la date)

Les articles du moment