Retour au blog

Comment Keeper protège contre le remplissage des identifiants dans des applications malveillantes

publié le décembre 21, 2023

Partagez ce blog

Écrit par Craig Lurey

L’engagement de Keeper Security à protéger les données des utilisateurs est omniprésent dans tout ce que nous faisons. Keeper® détient les plus anciennes certifications SOC 2 et ISO 27001 du secteur. Keeper est conforme au RGPD, à la CCPA, ainsi qu’aux normes FedRAMP et StateRAMP. Notre engagement à sécuriser les données de nos clients est la raison pour laquelle Keeper a mis en place des mesures de protection proactives pour protéger nos clients contre le remplissage automatique des identifiants dans des applications ou des sites Web non fiables.

Un rapport récent d’un chercheur en sécurité a soulevé des inquiétudes concernant une vulnérabilité d’Android appelée AutoSpill qui pourrait potentiellement permettre à un gestionnaire de mots de passe de remplir des identifiants dans une application non fiable. Keeper travaille en étroite collaboration avec la communauté des chercheurs en sécurité par le biais de notre programme de divulgation des bogues et des vulnérabilités (VDP) géré par Bugcrowd. Dans le cadre de ce programme, Keeper collabore avec des pirates de bonne foi afin d’identifier et de résoudre les problèmes liés à nos solutions de cybersécurité et d’aider à améliorer la cybersécurité collective du secteur dans son ensemble.

Keeper a initialement reçu un rapport du chercheur le 31 mai 2022 et a demandé une vidéo pour démontrer le problème signalé. Sur la base de notre analyse, nous avons déterminé que le chercheur avait d’abord installé une application malveillante, puis accepté l’avertissement de Keeper pour forcer l’association de l’application malveillante à un enregistrement de mot de passe. Les garanties intégrées de Keeper protègent contre ce type de scénario. Sur la plateforme Android, Keeper invite l’utilisateur à remplir automatiquement ses identifiants dans une application ou un site Web. L’utilisateur est invité à confirmer l’association de l’application à l’enregistrement du mot de passe Keeper avant de remplir toute information.

Vous trouverez ci-dessous une capture d’écran démontrant la protection de Keeper contre le scénario décrit ci-dessus :

L’association d’un enregistrement Keeper à une application malveillante ne peut se produire que si l’utilisateur a outrepassé d’importants paramètres de sécurité de son appareil pour charger une application malveillante ou a téléchargé une application dangereuse en dehors de l’App Store officiel. Par la suite, l’utilisateur devra autoriser explicitement l’association de l’enregistrement Keeper avec l’application malveillante pour remplir automatiquement les identifiants approuvés. Le 29 juin 2022, nous avons informé le chercheur des protections de sécurité logicielle de Keeper et lui avons recommandé de soumette son rapport à Google car ses préoccupations concernaient spécifiquement le composant WebView d’Android.

Les utilisateurs de tout gestionnaire de mots de passe, y compris Keeper, doivent toujours respecter les meilleures pratiques pour se protéger :

Ne téléchargez que des applications via des sites fiables tels que le Google Play Store. Ces applications passent par un processus de soumission et d’approbation, qui protège les utilisateurs contre l’installation involontaire d’un logiciel malveillant.
N’associez les enregistrements de votre coffre-fort de mots de passe qu’à des applications de confiance. N’autorisez pas l’association ou le remplissage automatique de vos identifiants avec des applications ou des sites non fiables.

Keeper fournit une pléthore de ressources éducatives pour aider chacun à améliorer sa protection en matière de cybersécurité et à suivre les meilleures pratiques. Nous vous recommandons toujours d’être à la fois prudent et vigilant quant aux applications que vous installez.

En savoir plus sur la façon de protéger votre smartphone.

Craig Lurey

Craig Lurey est le directeur technique et le cofondateur de Keeper Security. Craig dirige l’équipe d’infrastructure logicielle et technologique de Keeper. Craig et Darren sont des partenaires commerciaux actifs dans une série d’entreprises réussies depuis plus de 20 ans. Avant de créer Keeper, Craig a travaillé chez Motorola en tant qu’ingénieur logiciel, créant des micrologiciels pour l’infrastructure de stations de base cellulaires. Il a également fondé Apollo Solutions, une plateforme logicielle en ligne pour le secteur des revendeurs d’ordinateurs, qui a été rachetée par CNET Networks. Craig est titulaire d’une licence en génie électrique de l’université d’État de l’Iowa.

Recevez les dernières actualités et mises à jour en matière de cybersécurité, directement dans votre boîte de réception

Partagez ce blog

Vous pourriez aussi aimer

Comment passer à un environnement entièrement sans mot de passe avec Keeper, les clés d’accès et le SSO

L'authentification sans mot de passe est une méthode de sécurité qui permet à un utilisateur d'accéder à un système sans saisir de mot de passe traditionnel. Elle s'appuie sur d'autres moyens de vérification, tels que les...