Une équipe de l’ETH Zurich montre qu’il est possible de consulter et modifier des mots de passe stockés dans plusieurs gestionnaires cloud populaires. Non pas en cassant la cryptographie… mais en exploitant les mécanismes qui rendent ces services utilisables au quotidien.
Le mythe du coffre impénétrable
Les gestionnaires de mots de passe se sont imposés comme l’outil de base de la vie numérique. Entre cent et deux cents identifiants par utilisateur, mémoriser devient impossible ; confier ces secrets à un coffre chiffré devient alors rationnel. D’autant que les éditeurs affichent une promesse forte : la zero-knowledge encryption, censée garantir qu’eux-mêmes ne peuvent lire les données.
Mais cette promesse repose sur une hypothèse implicite : même si le serveur est compromis, les données resteraient inexploitables.
« La promesse est que même si quelqu’un accède au serveur, cela ne pose aucun risque car les données sont illisibles. Nous avons montré que ce n’est pas le cas »
Matilda Backendal, doctorante ETH Zurich.
Les chercheurs ont étudié trois solutions majeures, Bitwarden, LastPass et Dashlane, représentant environ 60 millions d’utilisateurs. En reproduisant le comportement d’un serveur compromis, ils ont pu accéder aux coffres, parfois intégralement, et dans la majorité des scénarios récupérer les mots de passe… voire les modifier.
La sécurité contournée par l’usage
Le point marquant de l’étude n’est pas la rupture cryptographique. Les attaques utilisent des interactions ordinaires : connexion, ouverture du coffre, synchronisation ou affichage d’un mot de passe. Autrement dit, le fonctionnement normal du produit devient le vecteur.
Les chercheurs parlent d’un « malicious server threat model » : après compromission, le serveur se comporte de manière arbitraire face au client.
Dans ce cadre, ils ont observé des compromissions allant « de violations d’intégrité ciblées à la compromission complète de tous les coffres d’une organisation ».
Kenneth Paterson résume la logique du risque : « En raison de la quantité de données sensibles qu’ils contiennent, les gestionnaires de mots de passe sont des cibles privilégiées pour des attaquants capables de pénétrer les serveurs et d’attaquer depuis l’intérieur. »
La surprise vient d’ailleurs. Les chercheurs s’attendaient à un niveau de sécurité supérieur à celui des autres services cloud. Ils ont au contraire découvert des architectures complexes et parfois incohérentes.
Quand la facilité d’usage devient surface d’attaque
L’origine principale des vulnérabilités n’est pas la cryptographie, mais l’expérience utilisateur. Récupération de compte, partage familial, synchronisation multi-appareils : autant de fonctions indispensables commercialement… mais coûteuses en sécurité.
« Le code devient plus complexe et confus, et cela élargit la surface d’attaque », observe Matteo Scarlata. Les attaques ne nécessitent même pas d’infrastructure lourde : « de petits programmes capables d’imiter le serveur » suffisent.
Les discussions avec les éditeurs ont également révélé une autre contrainte : la peur de casser l’accès aux données. Mettre à jour la sécurité signifie risquer de bloquer l’accès aux mots de passe pour des millions d’utilisateurs et d’entreprises. Résultat, certaines solutions maintiennent encore des technologies cryptographiques héritées des années 1990.
Une industrie invitée à redéfinir ses promesses
Les chercheurs recommandent une migration progressive vers des standards cryptographiques modernes, avec transparence sur les garanties réelles offertes aux utilisateurs. Tous n’auront pas nécessairement les mêmes protections, mais ils sauront au moins lesquelles.
« Les fournisseurs ne devraient pas faire de fausses promesses de sécurité mais communiquer clairement les garanties réelles », conclut Kenneth Paterson.
Objectif affiché : pousser l’industrie à passer d’un discours marketing absolu à un modèle de confiance explicite — où la sécurité n’est plus un slogan, mais un périmètre documenté.
