Quel est le niveau de sécurité du presse-papiers Windows?

49

J'utilise le presse-papier de Windows pour obtenir les mots de passe de Lastpass dans les applications de bureau.

Je me demandais exactement à quel point cela est-il sécurisé? Aucun programme ne peut-il accéder au Presse-papiers à tout moment?

kiri
la source
1
Je me souviens que l'accès au presse-papier était activé par défaut dans certaines (anciennes) versions d'IE (probablement IE6). J'ai trouvé ce lien où MS a placé une fenêtre d'avertissement à chaque fois qu'un site Web tentait d'accéder à votre presse-papiers, mais il semble que ce n'était pas le cas auparavant. Donc, si vous utilisez IE <= 6 (ce n'est pas le cas?), Vous courez un risque supplémentaire.
Carlos Campderrós
3
L'exécution du presse-papiers sur un ancien lecteur VMWare partagé dans un environnement de bureau révèle de nombreuses informations intéressantes sur vos collègues. Je devais toujours faire attention lorsque je répondais aux personnes qui occupaient mon ancien emploi, car il y avait de bonnes chances que couper et coller cela se retrouve dans le presse-papier du patron.
Peter Turner
1
@ CarlosCampderrós Je pense que le flash le permet toujours.
CodesInChaos
2
KeePass a une option dans les paramètres "Mémoire": "Comportement du panneau d'affichage: Amélioré: permet de coller une seule fois et protège contre les espions du presse-papiers"
DBedrenko

Réponses:

59

Ce n'est pas sécurisé.

Voir cette question & réponse sur Security.stackechange.com , citée ci-dessous:

Le presse-papier de Windows n'est pas sécurisé.

Ceci est une citation d'un article MSDN .

Le Presse-papiers peut être utilisé pour stocker des données, telles que du texte et des images. Étant donné que le Presse-papiers est partagé par tous les processus actifs, il peut être utilisé pour transférer des données entre eux.

Cela devrait probablement s'appliquer également aux machines Linux.

Est-ce une préoccupation? Non. Pour l'exploiter, il faudrait qu'il y ait sur votre machine des malwares capables de lire les données du presse-papiers. S'il a la capacité d'obtenir des logiciels malveillants sur votre ordinateur, vous devez vous inquiéter pour des choses beaucoup plus importantes, car il peut faire beaucoup d'autres choses, y compris des enregistreurs de frappe et autres.

Keltari
la source
4
S'il est trivial de lire les données dans le presse-papiers, comme l'explique Keltari, le fait que vous disposiez d'un logiciel malveillant vous lisant dans le presse-papiers est votre plus grande préoccupation. C’est la raison pour laquelle copier et coller votre mot de passe dans un champ de mot de passe n’a pas d’effet sur la protection de votre mot de passe, sa capacité à le faire est convaincant. Ne saisissez pas de mot de passe aléatoire sécurisé de 20 à 30 caractères.
Ramhound
2
Bien entendu, le seuil est beaucoup plus bas pour les logiciels malveillants qui lisent le presse-papiers (un morceau entièrement légal de javascript intégré dans une page Web suffit) par rapport aux logiciels malveillants qui exploitent le processus du navigateur, lit la mémoire d’un autre processus ou installe un point d’accès pour la capture. touches du clavier, etc.
Damon
24
@ Damon D'après ce que j'ai compris, JS n'a pas d'accès aléatoire au presse-papiers pour cette raison.
colonel Trente-deux
3
@Damon Selon MDN , l'application doit avoir l'autorisation d'utiliser la commande Coller afin que les pages aléatoires ne puissent pas renifler votre presse-papiers en l'utilisant.
Colonel Trente-Deux
2
@zzzzBov - Et qu'est-ce qui empêcherait quelqu'un d'ajouter un bouton en Javascript intitulé "Argent gratuit - Cliquez ici!", mais ce bouton copie en fait votre presse-papiers au lieu de vous donner de l'argent gratuitement?
Yay295
6

Gardez simplement à l'esprit que ce ne sont pas seulement les applications qui peuvent avoir accès au presse-papiers et que ce ne sont pas seulement les logiciels malveillants qui pourraient en avoir l'intention.

Il existe également des utilisateurs qui peuvent accidentellement ou délibérément révéler le contenu du presse-papiers après un accès physique à l'ordinateur. Bien sûr, ils peuvent quand même faire beaucoup de mal, mais il est difficile d'obtenir le mot de passe lui-même (et pas seulement l'accès aux sites Web / programmes) (sauf si vous l'avez dans le presse-papiers ...)

Donc, soit assurez-vous que le presse-papiers est nettoyé (et ce n’est pas fiable à 100% car certaines applications permettent à nouveau de récupérer les anciennes valeurs du presse-papiers) ou utilisez un type de cryptage (ce n’est pas trivial, mais même le plus simple protégera des fuites accidentelles de mots de passe)

Mikus
la source
1
Le cryptage ne va pas aider pour cela. L'attaque n'est pas dirigée contre la mémoire dans laquelle le presse-papiers (ou l'historique du presse-papiers) est stocké. L'attaque consiste à récupérer le contenu du presse-papiers à l'aide de l'API standard du presse-papiers (un programme en cours de lecture ou un autre utilisateur obtenant un accès temporaire et commençant à coller). .
Peter Cordes
1
Pas exactement Peter, nous ne connaissons pas l'architecture de la solution d'origine, mais si votre application place d'abord le contenu dans le presse-papiers puis le récupère, elle peut modifier les données de manière compréhensible pour elle-même. Donc, quand quelqu'un ou même vous avec quelqu'un qui regarde par hasard révèle le contenu, ce qui était à l'intérieur et comment l'utiliser ne sont pas encore évidents. De toute façon, révéler un mot de passe en texte brut est à mon sens la violation de sécurité la plus élevée possible. Honnêtement, je n’envisagerais jamais de le copier dans le presse-papiers ou le fichier texte, etx. Il existe de meilleurs moyens de communication entre les applications :)
mikus
3
@mikus alors que true, ce n’est généralement pas le cas du presse-papier. Le presse-papiers n'est vraiment utile que pour partager le contenu d'une application à une autre. Une seule application peut également simplement stocker le contenu crypté en mémoire pour une récupération ultérieure et éviter le presse-papiers.
Trlkly
En effet, je n'ai jamais dit le contraire, mais tant que je ne pense pas qu'une application commerciale comme LastPass laisse quoi que ce soit dans le presse-papiers, je suppose que l'auteur a le contrôle sur les deux applications. Ensuite, il peut choisir le codage ou le cryptage qu'il souhaite, non? et d’autres méthodes de communication également :) Si sa dernière passe consiste à enregistrer les mots de passe en texte clair dans le presse-papiers, il s’agit de l’application qui ne convient pas pour utiliser OMI.
Mikus
2

Comme tout le monde en convient, le presse-papiers est généralement peu sécurisé. Par conséquent, la question suivante est évidente: comment obtenir des mots de passe / phrases secrètes complexes à partir d’un gestionnaire de mots de passe jusqu’à leur emplacement souhaité, sans les exposer en cours de route.

Recherchez un gestionnaire de mot de passe avec l'option "taper votre mot de passe dans la fenêtre suivante sur laquelle vous cliquez" ou similaire. Je ne connais aucun exemple car je ne suis pas si paranoïaque à propos de la plupart des mots de passe. (Et je mémorise en fait les très rares mots de passe haute sécurité que j'utilise, comme ma clé privée GPG.)

Wiki de la communauté: modifiez les noms des programmes dotés de cette fonctionnalité:

  • KeePassX

Ma version de KeepassX, 0.4.3, propose de vider le presse-papiers après X secondes (20 par défaut, mais 8 c'est bien).

Peter Cordes
la source