Comment les vulnérabilités de Proton Pass ont été découvertes et corrigées

Imaginez que vous utilisez un gestionnaire de mots de passe pour sécuriser vos informations les plus sensibles, mais que ces données se retrouvent vulnérables en mémoire vive. Vous seriez sans doute préoccupé par la sécurité de vos informations. C’est exactement ce à quoi les utilisateurs de Proton Pass ont été confrontés récemment. Heureusement, un audit approfondi a permis de remédier à ces failles. Découvrons comment cela s’est passé.

Les 3 points clés

• Proton a commandé un audit complet de son gestionnaire de mots de passe par Recurity Labs, aboutissant à la découverte de huit vulnérabilités.
• La plus sérieuse touchait l’application Android, avec des données sensibles restant en mémoire après déconnexion, mais elle a été corrigée dans la version 1.39.2.
• Le rapport souligne une sécurité globalement supérieure à la moyenne, bien que certains correctifs soient encore partiels ou reportés.

Audit de sécurité : une étape nécessaire pour Proton Pass

Proton a pris l’initiative de renforcer la sécurité de son gestionnaire de mots de passe en mandatant Recurity Labs pour un audit exhaustif. Cette démarche a permis de détecter huit vulnérabilités, bien qu’aucune ne soit critique. L’audit a couvert l’ensemble des composants, des applications mobiles aux extensions navigateur, en passant par le backend.

Les auditeurs ont utilisé une approche « grey-box », combinant analyse statique et tests dynamiques, ce qui a permis une évaluation en profondeur de la sécurité du système. Cette méthode a révélé des failles qui auraient pu compromettre la sécurité des utilisateurs si elles n’avaient pas été corrigées.

Les vulnérabilités mises en lumière et corrigées

La faille la plus préoccupante concernait l’application Android, où des données censées être supprimées persistaient dans un fichier annexe. Cette vulnérabilité, notée 4,4 sur l’échelle CVSS, a été corrigée dans la version 1.39.2 de l’application.

Par ailleurs, quatre failles de faible sévérité ont été identifiées dans l’interface en ligne de commande (CLI), principalement liées à la gestion des fichiers système et des permissions. Bien que difficiles à exploiter, ces failles ont également été résolues.

Les auditeurs ont également souligné des problèmes de gestion des secrets en mémoire dans l’application desktop. Bien que ces failles n’aient pas été notées dans le modèle de menace de Proton, elles ont été corrigées pour renforcer la sécurité globale.

Extensions navigateur et autres observations

Concernant les extensions navigateur, un comportement par défaut a été noté : les identifiants pour un sous-domaine peuvent être utilisés sur un autre sous-domaine du même domaine. Bien que ce ne soit pas une faille, cela a été documenté comme un compromis entre sécurité et confort d’utilisation.

Sur iOS, Proton a identifié une correction possible pour les données restant accessibles même lorsque l’écran est verrouillé. Cependant, ce changement n’a pas été déployé en raison des risques associés.

Progrès futurs et développement de Proton Pass

Proton Pass continue d’évoluer avec de nouvelles fonctionnalités, notamment des applications natives pour Windows, macOS et Linux, ainsi qu’une gestion avancée des alias e-mail. Le chiffrement de bout en bout et l’intégration de Pass Monitor et Proton Sentinel renforcent l’attractivité du produit.

Les améliorations sur mobile offrent une expérience utilisateur fluide, bien que des progrès soient encore attendus pour les extensions navigateur, notamment dans la gestion des formulaires complexes.

La sécurité des gestionnaires de mots de passe en 2026 : un enjeu majeur

En 2026, la sécurité des gestionnaires de mots de passe est plus importante que jamais. Des entreprises comme LastPass et Dashlane investissent massivement dans la protection des données de leurs utilisateurs. La concurrence dans ce secteur pousse les éditeurs à innover constamment pour offrir des solutions de plus en plus sécurisées.

Les cyberattaques sont de plus en plus sophistiquées, rendant crucial l’audit régulier des systèmes de sécurité. Les utilisateurs doivent rester vigilants et choisir des gestionnaires de mots de passe qui s’engagent à protéger leurs informations personnelles par des audits et des mises à jour réguliers.