Le zero-knowledge est-il réellement respecté par les gestionnaires de mots de passe ? Une étude a révélé des failles dans Bitwarden, LastPass ou Dashlane.

Des chercheurs universitaires ont analysé plusieurs gestionnaires de mots de passe populaires afin de répondre à la question suivante : en cas de compromission des serveurs, les données des utilisateurs sont-elles protégées ? Autrement dit, la promesse du zero-knowledge est-elle réellement respectée ? Cette étude a révélé plusieurs failles dans Bitwarden, LastPass ou Dashlane.

Le Zero-Knowledge mis à mal par des chercheurs Sur le papier, l’architecture zero-knowledge est robuste : vos mots de passe sont chiffrés localement sur votre appareil, et le serveur de l’éditeur n’agit que comme un coffre-fort de stockage. L’objectif est double : empêcher l’éditeur d’accéder à vos données et protéger vos données en cas de piratage des serveurs. En effet, les données sont en principe illisibles.

Cependant, des chercheurs de l’ETH Zurich et de l’Università della Svizzera italiana (USI) ont décidé d’évaluer la sécurité de l’architecture Zero Knowledge de plusieurs gestionnaires de mots de passe : Bitwarden, Dashlane et LastPass. Il est important de noter que seules ces trois solutions ont été évaluées, car elles représentent une part significative du marché : 60 millions d’utilisateurs et 23% de part de marché.