Sécurité

Une société de gestion de mots de passe poursuit un journaliste pour avoir signalé une violation de la sécurité

Lorsqu’un chercheur a découvert une faille de sécurité dans Keeper, il s’est avéré que c’était une nouvelle ? ce gestionnaire de mots de passe est préinstallé dans les installations Windows 10 propres. Aujourd’hui, l’entreprise à l’origine de ce logiciel poursuit un journaliste qui a rapporté l’affaire.

Keeper Security accuse Dan Goodin, le rédacteur en chef de la sécurité d’Ars Technica, de faire des “déclarations fausses et trompeuses” sur son gestionnaire de mots de passe.

La nouvelle indique que Tavis Ormandy, chercheur en sécurité sur Google, a découvert une grave faille dans Keeper. Après avoir été activé par l’utilisateur, il suggère d’installer un plugin de navigateur qui “permet à n’importe quel site de voler n’importe quel mot de passe”.

Ormandy a publié une preuve de concept, capable de voler votre mot de passe Twitter s’il est stocké dans Keeper, et si vous avez activé le plugin du navigateur. L’entreprise elle-même a confirmé dans son blog officiel l’existence de cette faille, mais “aucun client n’a été lésé.

  Mot de passe WhatsApp avec AppLock

Cette vulnérabilité est presque identique à une autre qu’Ormandy a découverte dans le même plugin il y a 16 mois, permettant à des sites de voler des mots de passe. Keeper Security affirme cependant que la faille est différente et n’est présente que dans la version 11.3 de l’application ; elle a publié un correctif 24 heures après avoir été alertée.

Dans le procès, la société affirme que Goodin et Ars Technica “ont fait des déclarations fausses et trompeuses sur le logiciel Keeper, suggérant qu’il avait un bogue de 16 mois qui permettait aux sites de voler les mots de passe des utilisateurs. Elle demande un procès devant un jury, la rétractation et la suppression de l’article, ainsi qu’une indemnisation pour le préjudice moral.

Le journaliste de sécurité Kim Zetter a commenté l’affaire sur Twitter, en déclarant : “Quel mauvais précédent pour une société de sécurité, et quelle manière déshonorante de traiter un journaliste qui couvre la sécurité depuis des années, et qui fait tout son possible pour rapporter les bons détails.

  Opera sera un autre navigateur avec synchronisation des identifiants et des mots de passe

Les nouvelles d’Ars Technica ont été initialement publiées sous le titre “Microsoft force les utilisateurs à installer un gestionnaire de mots de passe défaillant”. Le site a contacté Keeper Security, qui n’a pas répondu immédiatement.

Après l’envoi d’une déclaration, le texte a été mis à jour. Quelques heures plus tard, le titre est devenu “Pendant 8 jours, Windows a inclus un gestionnaire de mots de passe avec une faille critique dans le plugin”.

Windows 10 installe certaines applications même sur des copies de système propres, notamment Keeper et Candy Crush Saga. Ormandy utilisait une image MSDN orientée vers les développeurs ; mais je suis déjà tombé sur ces applications après avoir créé de nouvelles partitions pour tester les builds du programme Insider.

En 2013, Keeper Security a menacé de poursuivre Fox-IT pour avoir découvert une vulnérabilité dans son gestionnaire de mots de passe iOS.

A propos de l'auteur

Véronique

La trentaine, maman de deux petits monstres de 10 ans. Je pèse chaque jour le pour et le contre dans l'utilisation des écrans pour mes bambins !
J'écris souvent depuis les transports en commun (#teamTablette).

Laisser un commentaire