Avec l'arrivée de Windows 10, Microsoft a pris la mauvaise habitude de préinstaller certaines applications tierces. Dernière en date à faire parler d'elle : Keeper, un gestionnaire de mots de passe visant à sécuriser les accès de l'utilisateur tout en lui permettant de multiplier les logins et mots de passe sans avoir à systématiquement les retenir...

Keeper

Malheureusement, la solution miracle qui voulait protéger les utilisateurs s'avérait être une véritable passoire. Tavis Ormandy, chercheur en sécurité a analysé l'application et découvert une faille permettant à "n'importe quel site Web de voler n'importe quel mot de passe" grâce à l'extension de navigateur de Keeper.

Une page de démonstration a été mise en ligne pour prouver qu'il est facile de mettre rapidement en place un Javascript qui se chargera d'injecter du code dans le formulaire d'authentification de l'extension de Keeper dans le but d'accéder aux mots de passe.

Keeper a réagi en déployant une mise à jour qui corrige cette faille, la Maj a été diffusée automatiquement sur Edge, Chrome et Firefox, mais pas sur Safari qui nécessite une mise à jour manuelle.