Enclaves pour un service cloud de gestion de mots de passe?
De nos jours, nos activités se font de plus en plus en ligne et par conséquent beaucoup de services nous demandent de nous authentifier. Les authentifications se font souvent à l'aide d'un mot de passe. Pour être efficaces, ces derniers doivent être différents et compliqués.
Pour nous aider dans cette tâche, les gestionnaires de mots de passe se popularisent. Ces derniers permettent de créer des mots de passe robustes, les enregistrer dans le Cloud pour les synchroniser entre plusieurs appareils et parfois de les partager.
Ces gestionnaires nous promettent une stratégie Zero Knowledge. C'est-à-dire que tous les mots de passe sont chiffrés localement avant d'être envoyés dans le cloud. En théorie, même si les serveurs de ces gestionnaires sont piratés, il serait impossible de voler ces mots de passe.
Dans ce travail de Bachelor cette promesse est remise en cause. Nous nous mettons dans le contexte d'un attaquant ayant pris le contrôle du serveur ou de la base de données de l'un de ces gestionnaires de mots de passe.
Pour commencer, une comparaison des différents gestionnaires existant sur le marché a été faite pour sélectionner un candidat et l'analyser. Parmi les critères les plus importants pour ce choix figurent la possibilité d'héberger le logiciel soi-même et qu'il soit open source afin de le tester et l'analyser.
Ensuite, une analyse de menaces du gestionnaire de mots de passe Bitwarden est effectuée. Dans cette analyse les fonctionnalités les plus importantes de ce gestionnaire sont expliquées et analysées. Les vulnérabilités du logiciel sont décrites. L'analyse comporte une démonstration d'une attaque qui pourrait donner l'opportunité de voler tous les mots de passe d'une entreprise.
Finalement, une solution théorique pour protéger cette attaque grâce à une enclave dans le Cloud, Intel SGX, est brièvement abordée. L'objectif est de prouver à un client que le code exécuté sur le serveur ne puisse pas divulguer d'informations sensibles sur le serveur.
Etudiant: Michael Ruckstuhl
Année: 2022
Département: TIC
Filière: Informatique et systèmes de communication (anciennement Télécommunications) avec orientation en Sécurité de l'information
Type de formation: Plein temps
Enseignant responsable: Jean-Marc Bost
Téléchargement:
- Télécharger l'affiche