Une nouvelle recherche de l'ETH Zurich et de l'USI Lugano met en lumière des vulnérabilités dans des gestionnaires de mots de passe populaires, remettant en question leurs assurances selon lesquelles les serveurs ne peuvent pas accéder aux coffres des utilisateurs. L'étude a analysé Bitwarden, Dashlane et LastPass, identifiant des moyens pour des attaquants contrôlant un serveur de voler ou modifier des données, particulièrement lorsque des fonctionnalités comme la récupération de compte ou le partage sont activées. Les entreprises ont commencé à corriger les problèmes tout en défendant leurs pratiques de sécurité globales.
Les gestionnaires de mots de passe sont devenus indispensables pour des millions de personnes, avec une estimation de 94 millions d'adultes américains les utilisant pour stocker des données sensibles comme des mots de passe, des identifiants de cryptomonnaies et des détails de paiement. Des fournisseurs comme Bitwarden, Dashlane et LastPass promeuvent un modèle de chiffrement 'zero-knowledge', assurant aux utilisateurs que même si les serveurs sont compromis, personne d'autre que l'utilisateur ne peut accéder aux données. Bitwarden déclare que 'même l'équipe de Bitwarden ne peut pas lire vos données (même si nous le voulions)'. Dashlane affirme que sans le mot de passe maître, 'les acteurs malveillants ne peuvent pas voler les informations, même si les serveurs de Dashlane sont compromis'. LastPass affirme de même que personne ne peut accéder au coffre 'sauf vous (pas même LastPass)'.</n/nCependant, des chercheurs de l'ETH Zurich et de l'USI Lugano, dans un article publié le 17 février 2026, ont démontré que ces promesses ne tiennent pas toujours. En effectuant une ingénierie inverse du logiciel, ils ont identifié 25 vulnérabilités permettant à un adversaire contrôlant un serveur — par compromission ou accès interne — de lire ou même de modifier des coffres entiers. Les attaques exploitent principalement des fonctionnalités comme l'escrow de clés pour la récupération de compte et le partage de coffres. Par exemple, dans Bitwarden, lors de l'inscription d'un nouveau membre dans une famille ou une organisation, un attaquant peut remplacer la clé publique du groupe par la sienne, permettant la déchiffrement de la clé symétrique de l'utilisateur et l'accès au coffre. Cela peut se propager 'comme un ver' à travers des groupes chevauchants si la récupération est activée.</n/nDes failles similaires affectent l'escrow de clés de LastPass dans les versions Teams, où le remplacement de la clé de superadmin permet le vol du coffre lors de la connexion via extension de navigateur. Dashlane fait face à des risques dans les coffres partagés, où des paires de clés non authentifiées permettent aux attaquants de récupérer des clés symétriques partagées pour lire et modifier des éléments. La compatibilité descendante avec des versions antérieures introduit d'autres faiblesses, comme des attaques d'oracle de remplissage dans Bitwarden et Dashlane qui pourraient déchiffrer des coffres au fil du temps. Des attaques sur les itérations de hachage réduisent également dramatiquement la difficulté de craquage du mot de passe maître.</n/nLes chercheurs ont noté que ces problèmes ont été négligés malgré des audits antérieurs, appelant à un focus plus grand sur les scénarios de serveurs malveillants. Ils ont mentionné que 1Password partage probablement des failles similaires mais l'ont analysé moins en profondeur. Les entreprises ont répondu en corrigeant de nombreuses vulnérabilités après des notifications privées. Bitwarden a souligné que le modèle de menace suppose 'un compromission totale du serveur et un comportement adversarial au-delà des hypothèses opérationnelles standard'. LastPass a mis en avant sa sécurité multicouche, incluant des tests de pénétration annuels et des programmes de bug bounty. Dashlane a affirmé des tests rigoureux et une mitigation rapide. 1Password a déclaré que l'article n'a révélé aucun nouveau vecteur au-delà de ses risques documentés et continue d'évaluer face à des menaces avancées.</n/nL'étude souligne que bien que les violations de serveurs soient rares, elles restent un risque crédible, surtout de la part d'acteurs étatiques, compte tenu d'incidents passés comme les violations de LastPass en 2015, 2021 et 2022.
