@Hamza Badaoui / @Adéle Prouvost / @Titouan-Joseph Revol # Dossier CSC - Gestionnaire de mot de passe ###### tags: `CSC` # Introduction  Afin d'avoir des mots de passe difficile à brut force ou à cracker avec une attaque dictionnaire, il est recommandé d'utiliser un mot de passe long, avec des chiffres et des caractères spéciaux sauf qu’il est difficile de se souvenir d'une dizaine de mots de passe comme cela. De plus, le mot de passe est censé devoir être unique pour chaque site, ce qui complique encore les choses pour l'utilisateur. C'est la où les gestionnaires de mot de passe intervienent. ## Présentation de gestionnaire de mot de passe Un gestionnaire de mot de passe est un logiciel, qui peut être totalement en ligne, et sert principalement à stocker et récupérer les mots de passe de l'utilisateur. La base de données des mots de passe est elle-même accessible via un mot de passe appelé `master password`. C'est le seul mot de passe qui doit être retenu par l'utilisateur et il devra être renseigné à chaque démarrage de l'appareil (ordinateur, smartphone ...). ### Features La plupart des gestionnaires de mot de passe comme LastPass ou 1Password proposent d'autres fonctionnalités à leur utilisateur: - génère des mots de passe difficiles à brut-force avec des caractères spéciaux et des chiffres - stocker les mots de passe dans une base de données locale ou en ligne - auto-remplir les formulaires d’authentification sur le WEB - pour les gestionnaires de mot de passe en ligne, ils sont capables de synchroniser les mots de passe entre plusieurs appareils - stocker d'autre donnée sensible comme un numéro de sécurité sociale, des coordonnées bancaires ou encore le scan de document confidentiel. - certains gestionnaires permettent aussi de partager les mots de passe - certains gestionnaires de mot de passe ont des scripts pour automatiquement authentifier l'utilisateur, ce qui le protège du fishing of pharming - certains protégés des keylogger en exigent la 2FA (2 factor authentication) ou une clé d'authentification physique. - certains permettent à l'utilisateur de s'authentifier avec une vérification biométrique (TouchID, FaceID) - alerte l'utilisateur si un de ses comptes se fait compromettre après d'un dump de base de données de mot de passe. - automatisation du changement des mots de passe avec les API des sites ## Exemple: BitWarden Bitwarden est un gestionnaire de mot de passe open source qui propose un service gratuit sans limite de nombre de mots de passe stockés. Contrairement à d'autre projets, comme Dashlane ou Lastpass. Néanmoins, Bitwarden propose des services premium payants qui ne sont pas un usage obligatoire pour un gestionnaire de mot de passe. L'un des avantages de Bitwarden est de pouvoir auto-hébérger son instance de base de données, tout en profitant de l'écosystème qui est disponible sur de nombreuses plateformes (Windows / Android / MacOS / IOS / Linux). ## Fonctionnement En général, les gestionnaires de mot de passe utilisent des algorithmes de chiffrements symétriques tels que AES ou encore PBKDF2. Seulement le résultat de l'algorithme de chiffrement est envoyé au serveur pour le stockage pour les versions online, pour les versions offline, le résultat est stocké sur un fichier localement. ## Vulnérabilité ### Repose sur un seul mot de passe Comme tous les mots de passe et autre information sensible sont centralisés dans un seul endroit et qu'on peut il'y accéder avec un mot de passe. Cela rend les vulnérables. pour remédier a cela les gerstionnair de mot de passe crypte ces données plusieurs fois, _mais on est jamais a l'abri si l'utilisateur ecrit le master Key sur un post-it collé a son bureau_ ### Probleme d'interface utilisateur Les gestionnaires de mot de passe Web sont vulnérables au phishing surtout s’il demande à l'utilisateur de s'authentifier via une iFrame. Car cela lui donne l'habitude à l'utilisateur de se connecter sur site avec une `URL` qui n'est pas le même site du gestionnaire de mot de passe. ### Confiance dans l'outil Tous dépendent de l'implémentation des protocoles de sécurité du gestionnaire de mot de passe, ces outils se basent principalement sur la confiance que l'implémentation de l'outil est correcte et que l'outil lui-même n'est pas malveillant. ### attaque WEB XSS ou CSRF l'utilisateur reste quand même vulnérable aux attaques WEB classiques comme XSS ou CSRF ## Conclusion Il y a toujours un risque en utilisant les gestionnaires de mot de passe et comme tout dans le domaine de la cybersécurité on est jamais certain à 100% que ces outils sont infaillibles. ## Ressource - https://bitwarden.com/ - https://www.lesnumeriques.com/gestionnaire-mot-de-passe/bitwarden-bitwarden-p58527/test.html - https://www.youtube.com/watch?v=w68BBPDAWr8 ## Propositions NST : * PBKDF2 n'est pas symétrique : c'est du hashage. * Détailler un peu plus l'exemple concret de BitWarden dans les 2 cas de figure : local et distant. * Si distant, alors quelle est la chaine de confiance ? * Si local, quelle robustesse face à un logiciel espion ?