Audit KeePass: aucune vulnérabilité de sécurité critique trouvée

• Catégorie: Sécurité

Essayez Notre Instrument Pour Éliminer Les Problèmes

Sélectionnez Le Système D'Exploitation Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Choisissez Un Programme De Projection (Éventuellement) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Décrivez Votre Problème

Obtenez Une Réponse

Envoyez-Moi Par E-Mail Montrer Sur Le Site

Nous avons signalé en juin 2016 que KeePass, un gestionnaire de mots de passe populaire, obtenait un audit de sécurité par le projet d'audit des logiciels libres et open source de l'UE (EU-FOSSA) de la Commission européenne.

EU-FOSSA est un projet pilote visant à créer un processus formel de contribution des revues de sécurité logicielle aux communautés open source.

Le projet a créé un inventaire des solutions open source utilisées par la Commission, publié des études sur les pratiques de sécurité de 14 communautés open source et examiné deux solutions open source populaires.

KeePass est un gestionnaire de mots de passe créé pour Windows - fonctionnant également sous Linux - qui utilise une base de données cryptée stockée localement.

Le programme est livré avec une liste impressionnante d'options. Vous pouvez activer un raccourci de connexion global par exemple, ou améliorer la sécurité de KeePass en modifiant paramètres.

Le gestionnaire de mots de passe prend en charge les plugins et les fourches grâce à sa nature open source. Les plugins permettent aux utilisateurs d'étendre les fonctionnalités du programme, par exemple en l'intégrant dans les navigateurs Web ou en synchronisant la base de données à l'aide de fournisseurs de stockage en ligne.

Audit KeePass

L'équipe de recherche a audité le code de KeePass 1.31, et non de KeePass 2.34. Bien que KeePass 2.34 ne soit mentionné nulle part dans le rapport, il semble raisonnable que KeePass 2.34 s'en tire de la même manière lors d'un audit de code.

KeePass 1.x est la version héritée du gestionnaire de mots de passe. La version ne nécessite pas Microsoft .NET mais manque de fonctionnalités avec lesquelles seul KeePass 2.x est livré. Il ne prend pas en charge l'association de KeePass au compte utilisateur Windows ou aux mots de passe à usage unique par exemple. Vous trouvez une comparaison d'édition complète table ici .

L'audit KeePass a parcouru les 84622 lignes de code et n'a trouvé aucun problème critique ou à haut risque dans le code. Cependant, il a trouvé cinq problèmes de notation moyenne, trois de faible note et six problèmes de notation uniquement.

Aucun résultat critique ou à haut risque n'a été détecté. Parmi les résultats restants, cinq résultats à risque moyen et trois résultats à faible risque ont été détectés. Les six autres étaient de nature informative.

Les problèmes relevés par les chercheurs sont détaillés dans le rapport d'audit que vous pouvez télécharger à partir du page de livraisons de projet sur le site Internet de l'UE-Fossa. Vous y trouverez également la liste de l'audit de sécurité Apache (regardez sous WP6: exemple de révision de code en bas de la page).

Mots de clôture

KeePass est un excellent gestionnaire de mots de passe sécurisé pour Windows. Les résultats de l'audit de code suggèrent qu'il s'agit d'un programme bien conçu sans problèmes critiques ou à haut risque.

Maintenant, c'est à votre tour : Quel gestionnaire de mots de passe utilisez-vous et pourquoi?