Les gestionnaires de mots de passe, outils censés protéger nos données les plus sensibles, présentent des failles de sécurité préoccupantes. Une étude menée par des chercheurs de l’École polytechnique fédérale de Zurich (ETH Zurich) révèle que des fournisseurs majeurs comme Bitwarden, Lastpass et Dashlane ne garantissent pas la sécurité promise à leurs 60 millions d’utilisateurs.
L’enquête a démontré que la technologie de « chiffrement de connaissance zéro », vantée par ces entreprises comme une protection absolue, est en réalité trompeuse. Les chercheurs ont simulé 25 attaques différentes – douze sur Bitwarden, sept sur Lastpass et six sur Dashlane – en piratant des serveurs et en reproduisant des actions courantes des utilisateurs, telles que la connexion, l’ouverture du coffre-fort ou la synchronisation des données. Ils ont ainsi pu accéder et manipuler les mots de passe stockés.
« Nous avons été surpris par l’ampleur des failles de sécurité », a déclaré le professeur d’informatique Kenneth Paterson. L’équipe s’attendait à un niveau de protection plus élevé, compte tenu de la nature critique des informations gérées par ces outils, notamment les identifiants de comptes bancaires et de cartes de crédit.
Selon les chercheurs, la complexité croissante de ces systèmes est en partie responsable de ces vulnérabilités. Les fournisseurs ajoutent continuellement de nouvelles fonctionnalités, comme la récupération de mot de passe ou les comptes familiaux, ce qui rend le logiciel plus susceptible aux attaques. De plus, beaucoup continuent d’utiliser des technologies de chiffrement datant des années 1990, craignant que des mises à jour ne compromettent l’accès des utilisateurs à leurs données.
L’ETH Zurich a informé les entreprises concernées des failles découvertes et leur a accordé un délai de 90 jours pour les corriger. Le professeur Paterson conseille aux utilisateurs de privilégier les fournisseurs qui font preuve de transparence concernant les vulnérabilités de sécurité et qui sont audités par des tiers.
Les résultats de cette étude seront présentés lors de la conférence USENIX Security 2026.