> Le 21 juil. 2023 à 10:26, Michel Verdier <mv...@free.fr> a écrit :
>
> Le 19 juillet 2023 RogerT a écrit :
>
>> La validation par le gouvernement n’est en rien une garantie (sgdg…).
>
> Bien sûr, mais c'est quand même un plus par rapport à rien du tout.
Ça ne vaut rien du tout. Rien.
>
>> Pour Keepass, tu stockes ta BD où tu veux. Le problème était la possibilité
>> d’exporter en clair les pwds :
>> https://www.it-connect.fr/faille-critique-dans-keepass-un-attaquant-peut-exporter-les-mots-de-passe-en-clair/
>
> https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-24055
> Celui-là concerne le client KeePass, d'autres clients comme KeePassXC ne
> sont pas touchés. Et ça concerne le paramétrage du client pas la
> base elle-même.
>
>> Encore une nouvelle faille en 2023 : CVE-2023-35866
>> 19/07/2023
>> https://www.it-connect.fr/une-faille-de-securite-keepassxc-permet-de-changer-le-mot-de-passe-maitre-lediteur-conteste/
>
> https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=CVE-2023-35866
> Ca concerne KeePassXC mais il faut laisser la base ouverte en libre
> d'accès. A partir de là forcément n'importe quoi peut être fait sur la
> base et sans doute aussi sur le poste. Ce CVE est disputé.
C’est suffisamment grave et répété (pour d’autres gestionnaires de pwd) pour
reconsidérer l’utilisation de ces passoires.
« Disputed » : l’éditeur n’est pas d’accord. Ça ne veut rien dire d’autre
(comme d’être partie à un procès dont on ignore l’issue).
Avec des arguments pour keepass[xc] comme:
« Oui, mais si un attaquant prend le contrôle de la machine alors il n’y a
rien à faire » !!
et « On ne peut pas faire de la sécurité en milieu non sûr » !!!
Ils sont fous ces gars !
