Source et contexte — Étude académique d’ETH Zurich et de l’Università della Svizzera italiana (USI), avec preuves de concept (PoC), analysant trois gestionnaires de mots de passe cloud (Bitwarden, LastPass, Dashlane) dans un modèle de menace à serveur malveillant.

Principaux constats

  • Les auteurs identifient 12 attaques contre Bitwarden, 7 contre LastPass et 6 contre Dashlane (25 au total). La plupart permettent la récupération de mots de passe.
  • Les promesses de « Zero Knowledge »/E2EE ne tiennent pas face à un serveur pleinement malveillant, un modèle jugé réaliste au vu de la valeur des coffres et d’incidents passés.
  • Les vulnérabilités découlent d’anti‑patterns communs : absence d’authentification des clés publiques, mauvaise séparation des clés, hypothèse erronée d’authenticité des chiffrés PKE, compatibilité rétro qui rouvre CBC sans intégrité, intégrité au niveau champ/élément mais pas du coffre entier.

Attaques par catégories (exemples marquants)

  • 🔐 Key escrow / récupération & SSO: Bitwarden (BW01, BW02, BW03) permet une compromission complète du coffre via auto‑enrôlement malveillant, rotation de clé piégée, ou conversion Key Connector forcée; LastPass (LP01) permet un reset de mot de passe malveillant faute d’authentification des clés d’admin.
  • 🧱 Intégrité du coffre (item-level): Bitwarden/LastPass (BW05, LP02) échanges de champs; fuites via URL d’icône (BW06, LP03); métadonnées non protégées (BW04, LP06); abaissement des itérations KDF (BW07, LP04) facilitant le brute force.
  • 🤝 Partage: Substitution de clé publique non authentifiée entraînant prise de contrôle de partages dans LastPass (LP07) et Dashlane (DL02); Bitwarden souffre d’injection/écrasement d’organisation (BW08, BW09) permettant escalades et compromissions de coffres partagés.
  • ⬇️ Rétrocompatibilité/downgrade: Bitwarden (BW11, BW12) et Dashlane (DL03–DL06) permettent de forcer AES‑CBC sans intégrité (padding oracles, perte d’intégrité/confidentialité), de désactiver les per‑item keys (BW10) ou de rejouer des transactions (DL01).

Impacts et ampleur

  • Confidentialité: récupération de mots de passe, lecture de champs sensibles, décryptage d’items; Intégrité: injection/modification d’items, altération de métadonnées et paramètres sécurité (ex. itérations KDF), compromission d’organisations entières.
  • Les trois fournisseurs cumuleraient plus de 60 M d’utilisateurs et ~23 % de parts de marché selon les chiffres cités; des PoC valident la faisabilité.

Pistes de correction proposées par les auteurs (en cours de remédiation selon divulgation coordonnée)

  • Adopter chiffrement authentifié (AE/AEAD), séparation stricte des clés (KS), authentification des données (AD), authentification des clés publiques (PKA) et authentification des chiffrés (SC/signcryption).
  • Protéger intégrité du coffre au niveau global (pas seulement champ/élément), rendre per‑item keys obligatoires, supprimer le CBC sans MAC, authentifier paramètres KDF, et introduire des mécanismes fiables d’authentification de clés (PKI/TOFU/VKD) et de chiffrés (signatures/signon‑chiffrement).

IOCs et TTPs

  • IOCs: non fournis.
  • TTPs (exemples) :
    • Substitution de clés publiques et de chiffrés PKE pour détourner partages et récupérations.
    • Downgrade crypto vers AES‑CBC (sans intégrité), padding oracle, rejeu de transactions.
    • Manipulation de métadonnées et paramètres KDF (réduction d’itérations) pour accélérer le brute force.
    • Injection/écrasement d’organisation et partage/SSO contournés via absence d’authentification.

Conclusion

  • Il s’agit d’une publication de recherche visant à démontrer, preuves à l’appui, que les promesses de « Zero Knowledge » ne sont pas atteintes par ces produits face à un serveur malveillant, et à proposer des contre‑mesures concrètes pour élever le niveau de sécurité.

🧠 TTPs et IOCs détectés

TTP

Substitution de clés publiques et de chiffrés PKE pour détourner partages et récupérations; Downgrade crypto vers AES-CBC (sans intégrité), padding oracle, rejeu de transactions; Manipulation de métadonnées et paramètres KDF (réduction d’itérations) pour accélérer le brute force; Injection/écrasement d’organisation et partage/SSO contournés via absence d’authentification.

IOC

non fournis

🔗 Source originale : https://eprint.iacr.org/2026/058