{"id":523396,"date":"2022-12-22T11:16:31","date_gmt":"2022-12-22T13:16:31","guid":{"rendered":"https:\/\/teknomers.com\/fr\/faille-de-securite-critique-signalee-dans-passwordstate-enterprise-password-manager\/"},"modified":"2022-12-22T11:16:32","modified_gmt":"2022-12-22T13:16:32","slug":"faille-de-securite-critique-signalee-dans-passwordstate-enterprise-password-manager","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/faille-de-securite-critique-signalee-dans-passwordstate-enterprise-password-manager\/","title":{"rendered":"Faille de s\u00e9curit\u00e9 critique signal\u00e9e dans Passwordstate Enterprise Password Manager"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">22 d\u00e9cembre 2022<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Gestion des mots de passe \/ S\u00e9curit\u00e9 en ligne<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Plusieurs vuln\u00e9rabilit\u00e9s de haute gravit\u00e9 ont \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9es dans <b>\u00c9tat du mot de passe<\/b> solution de gestion de mots de passe qui pourrait \u00eatre exploit\u00e9e par un adversaire distant non authentifi\u00e9 pour obtenir les mots de passe en clair d&#8217;un utilisateur.<\/p>\n<p>&#8220;Une exploitation r\u00e9ussie permet \u00e0 un attaquant non authentifi\u00e9 d&#8217;exfiltrer les mots de passe d&#8217;une instance, d&#8217;\u00e9craser tous les mots de passe stock\u00e9s dans la base de donn\u00e9es ou d&#8217;\u00e9lever leurs privil\u00e8ges au sein de l&#8217;application&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 suisse de cybers\u00e9curit\u00e9 modzero AG. <a rel=\"nofollow noopener\" href=\"https:\/\/www.modzero.com\/modlog\/archives\/2022\/12\/19\/better_make_sure_your_password_manager_is_secure\/index.html\" target=\"_blank\">m&#8217;a dit<\/a> dans un rapport publi\u00e9 cette semaine.<\/p>\n<p>&#8220;Certaines des vuln\u00e9rabilit\u00e9s individuelles peuvent \u00eatre encha\u00een\u00e9es pour obtenir un shell sur le syst\u00e8me h\u00f4te Passwordstate et vider tous les mots de passe stock\u00e9s en texte clair, en commen\u00e7ant par rien de plus qu&#8217;un nom d&#8217;utilisateur valide.&#8221;<\/p>\n<p>Passwordstate, d\u00e9velopp\u00e9 par une soci\u00e9t\u00e9 australienne nomm\u00e9e Click Studios, a plus de <a rel=\"nofollow noopener\" href=\"https:\/\/www.clickstudios.com.au\/our-customers.aspx\" target=\"_blank\">29 000 clients<\/a> et est utilis\u00e9 par plus de 370 000 professionnels de l&#8217;informatique.<\/p>\n<p>L&#8217;un des d\u00e9fauts affecte \u00e9galement <a rel=\"nofollow noopener\" href=\"https:\/\/chrome.google.com\/webstore\/detail\/passwordstate\/appojfilknpkghkebigcdkmopdfcjhim\" target=\"_blank\">\u00c9tat du mot de passe version 9.5.8.4<\/a> pour le navigateur Web Chrome.  La derni\u00e8re version du module compl\u00e9mentaire de navigateur est la 9.6.1.2, qui a \u00e9t\u00e9 publi\u00e9e le 7 septembre 2022.<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/uptycs-inside\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/12\/1670949871_285_De-graves-attaques-auraient-pu-etre-mises-en-scene-via.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La liste des vuln\u00e9rabilit\u00e9s identifi\u00e9es par modzero AG est ci-dessous &#8211;<\/p>\n<ul>\n<li><a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2022-3875\" target=\"_blank\">CVE-2022-3875<\/a> (Score CVSS : 9,1) &#8211; Un contournement d&#8217;authentification pour l&#8217;API de Passwordstate<\/li>\n<li><a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2022-3876\" target=\"_blank\">CVE-2022-3876<\/a> (Score CVSS : 6,5) &#8211; Un contournement des contr\u00f4les d&#8217;acc\u00e8s via des cl\u00e9s contr\u00f4l\u00e9es par l&#8217;utilisateur<\/li>\n<li><a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2022-3877\" target=\"_blank\">CVE-2022-3877<\/a> (score CVSS : 5,7) &#8211; Un script cross-site stock\u00e9 (<a rel=\"nofollow noopener\" href=\"https:\/\/www.imperva.com\/learn\/application-security\/cross-site-scripting-xss-attacks\/\" target=\"_blank\">XSS<\/a>) vuln\u00e9rabilit\u00e9 dans le champ URL de chaque entr\u00e9e de mot de passe<\/li>\n<li>Pas de CVE (score CVSS\u00a0: 6,0) &#8211; Un m\u00e9canisme insuffisant pour s\u00e9curiser les mots de passe en utilisant le chiffrement sym\u00e9trique c\u00f4t\u00e9 serveur<\/li>\n<li>Pas de CVE (score CVSS\u00a0: 5,3) &#8211; Utilisation d&#8217;informations d&#8217;identification cod\u00e9es en dur pour r\u00e9pertorier les \u00e9v\u00e9nements audit\u00e9s tels que les demandes de mot de passe et les modifications de compte d&#8217;utilisateur via l&#8217;API<\/li>\n<li>Pas de CVE (score CVSS\u00a0: 4,3) &#8211; Utilisation d&#8217;informations d&#8217;identification insuffisamment prot\u00e9g\u00e9es pour les listes de mots de passe<\/li>\n<\/ul>\n<p>L&#8217;exploitation des vuln\u00e9rabilit\u00e9s pourrait permettre \u00e0 un attaquant connaissant un nom d&#8217;utilisateur valide d&#8217;extraire les mots de passe enregistr\u00e9s en texte clair, d&#8217;\u00e9craser les mots de passe dans la base de donn\u00e9es et m\u00eame d&#8217;\u00e9lever les privil\u00e8ges pour r\u00e9aliser l&#8217;ex\u00e9cution de code \u00e0 distance.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/12\/Faille-de-securite-critique-signalee-dans-Passwordstate-Enterprise-Password-Manager.gif\" alt=\"\" border=\"0\" data-original-height=\"408\" data-original-width=\"728\"\/><\/div>\n<p>De plus, un flux d&#8217;autorisation incorrect (score CVSS\u00a0: 3,7) identifi\u00e9 dans l&#8217;extension de navigateur Chrome pourrait \u00eatre utilis\u00e9 pour envoyer tous les mots de passe \u00e0 un domaine contr\u00f4l\u00e9 par un acteur.<\/p>\n<p>Dans une cha\u00eene d&#8217;attaque d\u00e9montr\u00e9e par modzero AG, un acteur malveillant pourrait falsifier un jeton d&#8217;API pour un compte administrateur et exploiter la faille XSS pour ajouter une entr\u00e9e de mot de passe malveillante afin d&#8217;obtenir un shell invers\u00e9 et r\u00e9cup\u00e9rer les mots de passe h\u00e9berg\u00e9s dans l&#8217;instance.<\/p>\n<p>Il est recommand\u00e9 aux utilisateurs de mettre \u00e0 jour <a rel=\"nofollow noopener\" href=\"https:\/\/www.clickstudios.com.au\/passwordstate-changelog.aspx\" target=\"_blank\">\u00c9tat de mot de passe 9.6 &#8211; Build 9653<\/a> publi\u00e9 le 7 novembre 2022 ou des versions ult\u00e9rieures pour att\u00e9nuer les menaces potentielles.<\/p>\n<p>Passwordstate, en avril 2021, a \u00e9t\u00e9 victime d&#8217;une attaque de la cha\u00eene d&#8217;approvisionnement qui a permis aux attaquants de tirer parti du m\u00e9canisme de mise \u00e0 jour du service pour supprimer une porte d\u00e9rob\u00e9e sur les machines des clients.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/12\/critical-security-flaw-reported-in.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80222 d\u00e9cembre 2022\ue804Ravie LakshmananGestion des mots de passe \/ S\u00e9curit\u00e9 en ligne Plusieurs vuln\u00e9rabilit\u00e9s de haute gravit\u00e9 ont \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9es dans \u00c9tat du mot de passe solution de gestion de mots de passe qui pourrait \u00eatre exploit\u00e9e par un adversaire distant non authentifi\u00e9 pour obtenir les mots de passe en clair d&#8217;un utilisateur. &#8220;Une exploitation [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":523397,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4168,22,4158,4165,4161,429,102870,9048,4157,4159,4171,4170,4167,7842,4160,4163,4162,134021,134020,1835,4172,4169,9499,4166,4164],"class_list":["post-523396","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-comment-pirater","tag-critique","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-enterprise","tag-faille","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-manager","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-password","tag-passwordstate","tag-securite","tag-securite-informatique","tag-securite-internet","tag-signalee","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/523396","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=523396"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/523396\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/523397"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=523396"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=523396"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=523396"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}