Publié le 16 février 2026 11:41:00. Des chercheurs de l’ETH Zurich ont mis en évidence des failles de sécurité préoccupantes dans des gestionnaires de mots de passe populaires tels que Bitwarden, Lastpass et Dashlane, remettant en question la promesse d’une protection infaillible des données.
- Une équipe de l’ETH Zurich a découvert des vulnérabilités permettant d’accéder et de manipuler les mots de passe stockés dans ces gestionnaires, malgré le recours au cryptage.
- Ces failles sont exploitées grâce à des programmes relativement simples, en raison de codes parfois obsolètes et complexes.
- Les fournisseurs de ces services ont été informés et réagissent à des rythmes différents pour corriger ces problèmes.
Presque personne ne possède une mémoire suffisamment performante pour retenir un mot de passe unique et complexe pour chaque service en ligne, conformément aux recommandations des experts en sécurité informatique. Les gestionnaires de mots de passe sont censés simplifier cette tâche en agissant comme un coffre-fort numérique, accessible uniquement via un mot de passe principal. Cependant, une étude menée par l’ETH Zurich remet en question cette sécurité supposée.
Mots de passe sécurisés ? « Nous avons pu montrer que ce n’est pas vrai. »
« La promesse est que même si quelqu’un accède au serveur, cela ne présente aucun risque pour les clients, car les données sont cryptées et donc illisibles », explique Matilda Backendal, experte en cryptographie à l’Université de Suisse italienne USI et à l’ETH Zurich. Les concepteurs de ces outils parlent de « cryptage sans connaissance ». Mais : « Nous avons désormais pu démontrer que ce n’est pas le cas », a déclaré la chercheuse.
Piratage pour la recherche : voici comment l’équipe a procédé
Backendal et ses collègues de l’Institute for Information Security ont examiné les gestionnaires de mots de passe basés sur le cloud de trois fournisseurs, représentant environ 60 millions d’utilisateurs. Plus précisément, l’équipe a lancé douze attaques sur Bitwarden, sept sur Lastpass et six sur Dashlane. Pour ce faire, ils ont mis en place leurs propres serveurs simulant un serveur de gestion de mots de passe piraté. Ils ont supposé que ces serveurs se comporteraient de manière malveillante après une attaque, s’écartant du comportement attendu lors de l’interaction avec des clients, comme un navigateur Web, comme le rapporte Ethz.ch. Leurs attaques allaient de la compromission de coffres-forts d’utilisateurs ciblés à la compromission complète de tous les coffres-forts d’une organisation utilisant le service. Dans la plupart des cas, les chercheurs ont pu accéder aux mots de passe – et même les manipuler.
« Surpris par l’ampleur des failles de sécurité »
L’équipe dirigée par Kenneth Paterson, professeur d’informatique à l’ETH Zurich, avait déjà identifié des failles dans d’autres services basés sur le cloud, mais supposait que les gestionnaires de mots de passe bénéficieraient de normes de sécurité plus strictes en raison de la nature sensible des données qu’ils protègent. Or, ce n’est pas le cas : « Nous avons été surpris par l’ampleur des vulnérabilités », a déclaré Paterson à ETH News. « Le chiffrement de bout en bout dans les services commerciaux étant encore relativement nouveau, il semble que personne ne l’ait examiné de près. »
Les chercheurs ont découvert des « architectures de code bizarres »
Matteo Scarlata a mené certaines de ces attaques. L’expert en cryptographie de l’ETH avance une autre explication pour les « architectures de code très bizarres » qu’il a constatées : les entreprises cherchent à offrir à leurs clients une expérience utilisateur optimale, notamment en proposant des fonctionnalités de récupération de mot de passe ou de partage de compte en famille, a-t-il expliqué à ETH News. « Cela rend les codes plus complexes et plus confus, et augmente les points d’attaque potentiels pour les pirates informatiques. » Il est inquiétant de constater que ces attaques ne nécessitent pas d’ordinateurs ou de serveurs particulièrement puissants, « mais simplement de petits programmes capables de se faire passer pour le serveur ».
Utilisez-vous un gestionnaire de mots de passe ?
Les fournisseurs ont répondu aux failles de sécurité
Contrairement aux pirates malveillants, l’équipe de l’ETH a informé les entreprises concernées de ses découvertes, comme c’est l’usage pour les attaques « amicales », avant la publication des résultats. « Les fournisseurs ont été pour la plupart coopératifs et reconnaissants, mais tous n’ont pas réagi aussi rapidement pour corriger les failles », a précisé Paterson. Les échanges avec les développeurs des gestionnaires de mots de passe ont révélé une certaine prudence quant aux mises à jour du système, probablement par crainte de priver leurs clients de l’accès à leurs mots de passe et autres données personnelles. C’est pourquoi de nombreux fournisseurs hésitent à abandonner des technologies cryptographiques datant des années 1990, même si elles sont obsolètes depuis longtemps, explique Scarlata.
Conseils aux fournisseurs et aux utilisateurs
L’équipe a formulé des suggestions. Par exemple, les fournisseurs pourraient mettre à jour les systèmes de manière cryptographique pour les nouveaux clients. Les clients existants pourraient ensuite choisir de migrer vers le nouveau système plus sécurisé et d’y transférer leurs mots de passe, ou de conserver l’ancien système, en étant conscients des failles de sécurité existantes, selon Ethz.ch.
L’équipe recommande aux utilisateurs de gestionnaires de mots de passe de choisir un outil…
- … qui divulgue ouvertement les failles de sécurité potentielles.
- … qui a fait l’objet d’une vérification externe.
- … où le cryptage de bout en bout est activé par défaut.
Abonnez-vous aux notifications de Knowledge Channel dans l’application de 20 minutes.
Vous serez informé des résultats et découvertes révolutionnaires de la recherche, des explications sur l’actualité et des nouvelles curieuses du vaste monde scientifique. Vous recevrez également des réponses aux questions du quotidien et des conseils pour une vie meilleure.
Voici comment cela fonctionne : Installez la dernière version de l’application 20 Minutes. Appuyez sur « Profil » en bas, puis sur l’engrenage « Paramètres » et enfin sur « Notifications push ». Sélectionnez ici les sujets souhaités.
