Lorsqu’un chercheur a découvert une faille de sécurité dans Keeper, il s’est avéré que c’était une nouvelle ? ce gestionnaire de mots de passe est préinstallé dans les installations Windows 10 propres. Aujourd’hui, l’entreprise à l’origine de ce logiciel poursuit un journaliste qui a rapporté l’affaire.
Keeper Security accuse Dan Goodin, le rédacteur en chef de la sécurité d’Ars Technica, de faire des “déclarations fausses et trompeuses” sur son gestionnaire de mots de passe.
La nouvelle indique que Tavis Ormandy, chercheur en sécurité sur Google, a découvert une grave faille dans Keeper. Après avoir été activé par l’utilisateur, il suggère d’installer un plugin de navigateur qui “permet à n’importe quel site de voler n’importe quel mot de passe”.
Ormandy a publié une preuve de concept, capable de voler votre mot de passe Twitter s’il est stocké dans Keeper, et si vous avez activé le plugin du navigateur. L’entreprise elle-même a confirmé dans son blog officiel l’existence de cette faille, mais “aucun client n’a été lésé.
Cette vulnérabilité est presque identique à une autre qu’Ormandy a découverte dans le même plugin il y a 16 mois, permettant à des sites de voler des mots de passe. Keeper Security affirme cependant que la faille est différente et n’est présente que dans la version 11.3 de l’application ; elle a publié un correctif 24 heures après avoir été alertée.
Dans le procès, la société affirme que Goodin et Ars Technica “ont fait des déclarations fausses et trompeuses sur le logiciel Keeper, suggérant qu’il avait un bogue de 16 mois qui permettait aux sites de voler les mots de passe des utilisateurs. Elle demande un procès devant un jury, la rétractation et la suppression de l’article, ainsi qu’une indemnisation pour le préjudice moral.
Le journaliste de sécurité Kim Zetter a commenté l’affaire sur Twitter, en déclarant : “Quel mauvais précédent pour une société de sécurité, et quelle manière déshonorante de traiter un journaliste qui couvre la sécurité depuis des années, et qui fait tout son possible pour rapporter les bons détails.
Les nouvelles d’Ars Technica ont été initialement publiées sous le titre “Microsoft force les utilisateurs à installer un gestionnaire de mots de passe défaillant”. Le site a contacté Keeper Security, qui n’a pas répondu immédiatement.
Après l’envoi d’une déclaration, le texte a été mis à jour. Quelques heures plus tard, le titre est devenu “Pendant 8 jours, Windows a inclus un gestionnaire de mots de passe avec une faille critique dans le plugin”.
Windows 10 installe certaines applications même sur des copies de système propres, notamment Keeper et Candy Crush Saga. Ormandy utilisait une image MSDN orientée vers les développeurs ; mais je suis déjà tombé sur ces applications après avoir créé de nouvelles partitions pour tester les builds du programme Insider.
En 2013, Keeper Security a menacé de poursuivre Fox-IT pour avoir découvert une vulnérabilité dans son gestionnaire de mots de passe iOS.