Analyse sécuritaire de Gestionnaires de mots de passe
Les gestionnaires de mots de passe sont des outils qui permettent de faciliter le quotidien des utilisateurs en stockant les mots de passe (et autres informations) de manière sûre, c'est en tout cas ce que les constructeurs mettent en avant. Surtout qu'en général, un seul mot de passe, le master password, est nécessaire afin de déverrouiller le coffre-fort. De ce fait, les internautes n'ont qu'un seul mot de passe à se souvenir, ce qui est très bénéfique. Ainsi, étant donné que les utilisateurs se reposent beaucoup sur la protection de leurs données, il est important d'analyser ces applications afin de s'assurer que ces dernières soient les plus sécurisées possible et aient une architecture robuste.
Dans ce travail, dans une première partie, une étude de marché a été effectuée afin de réaliser ce qui existe sur le marché et toutes les fonctionnalités que les gestionnaires de mots de passe offrent. Ensuite, quelques processus de l'application ont été décrits, notamment le déchiffrement d'un coffre-fort ou le partage de données entre utilisateurs, pour comprendre au mieux quelle est l'implémentation généralement utilisée. Puis, une analyse de menaces générale sur les gestionnaires a été réalisée pour se rendre compte de tous les risques et menaces présentes. Cela a résulté en une liste d'exigences sécuritaires à respecter absolument pour garantir une sécurité forte.
Dans une seconde partie, deux applications, LastPass et KeePass, ont été sélectionnées pour être analysées en profondeur d'après des critères choisis au préalable.
Finalement, les résultats des analyses sont bons, moins pour LastPass car sur deux fai- blesses trouvées, une est plutôt critique. Néanmoins, nous avons pu remarquer qu'un master password fort est très important et que des modifications des paramètres par défaut des applications sont recommandées.
Etudiant: Noémie Plancherel
Année: 2023
Département: TIC
Filière: Informatique et systèmes de communication (anciennement Télécommunications) avec orientation en Sécurité de l'information
Type de formation: Plein temps
Enseignant responsable: Sylvain Pasini
Institut: IICT
Téléchargements:
- Télécharger l'affiche
- Télécharger le rapport