La plupart des gestionnaires de mots de passe disponibles sur le marché n'exigent que le mot de passe principal de l'utilisateur pour accéder à son coffre-fort
L’engagement de Keeper Security à protéger les données des utilisateurs est omniprésent dans tout ce que nous faisons. Keeper® détient les plus anciennes certifications SOC 2 et ISO 27001 du secteur. Keeper est conforme au RGPD, à la CCPA, ainsi qu’aux normes FedRAMP et StateRAMP. Notre engagement à sécuriser les données de nos clients est la raison pour laquelle Keeper a mis en place des mesures de protection proactives pour protéger nos clients contre le remplissage automatique des identifiants dans des applications ou des sites Web non fiables.
Un rapport récent d’un chercheur en sécurité a soulevé des inquiétudes concernant une vulnérabilité d’Android appelée AutoSpill qui pourrait potentiellement permettre à un gestionnaire de mots de passe de remplir des identifiants dans une application non fiable. Keeper travaille en étroite collaboration avec la communauté des chercheurs en sécurité par le biais de notre programme de divulgation des bogues et des vulnérabilités (VDP) géré par Bugcrowd. Dans le cadre de ce programme, Keeper collabore avec des pirates de bonne foi afin d’identifier et de résoudre les problèmes liés à nos solutions de cybersécurité et d’aider à améliorer la cybersécurité collective du secteur dans son ensemble.
Keeper a initialement reçu un rapport du chercheur le 31 mai 2022 et a demandé une vidéo pour démontrer le problème signalé. Sur la base de notre analyse, nous avons déterminé que le chercheur avait d’abord installé une application malveillante, puis accepté l’avertissement de Keeper pour forcer l’association de l’application malveillante à un enregistrement de mot de passe. Les garanties intégrées de Keeper protègent contre ce type de scénario. Sur la plateforme Android, Keeper invite l’utilisateur à remplir automatiquement ses identifiants dans une application ou un site Web. L’utilisateur est invité à confirmer l’association de l’application à l’enregistrement du mot de passe Keeper avant de remplir toute information.
Vous trouverez ci-dessous une capture d’écran démontrant la protection de Keeper contre le scénario décrit ci-dessus :
L’association d’un enregistrement Keeper à une application malveillante ne peut se produire que si l’utilisateur a outrepassé d’importants paramètres de sécurité de son appareil pour charger une application malveillante ou a téléchargé une application dangereuse en dehors de l’App Store officiel. Par la suite, l’utilisateur devra autoriser explicitement l’association de l’enregistrement Keeper avec l’application malveillante pour remplir automatiquement les identifiants approuvés. Le 29 juin 2022, nous avons informé le chercheur des protections de sécurité logicielle de Keeper et lui avons recommandé de soumette son rapport à Google car ses préoccupations concernaient spécifiquement le composant WebView d’Android.
Les utilisateurs de tout gestionnaire de mots de passe, y compris Keeper, doivent toujours respecter les meilleures pratiques pour se protéger :
- Ne téléchargez que des applications via des sites fiables tels que le Google Play Store. Ces applications passent par un processus de soumission et d’approbation, qui protège les utilisateurs contre l’installation involontaire d’un logiciel malveillant.
- N’associez les enregistrements de votre coffre-fort de mots de passe qu’à des applications de confiance. N’autorisez pas l’association ou le remplissage automatique de vos identifiants avec des applications ou des sites non fiables.
Keeper fournit une pléthore de ressources éducatives pour aider chacun à améliorer sa protection en matière de cybersécurité et à suivre les meilleures pratiques. Nous vous recommandons toujours d’être à la fois prudent et vigilant quant aux applications que vous installez.
En savoir plus sur la façon de protéger votre smartphone.