C'est une alerte qui touche potentiellement 40 millions d'utilisateurs. Le chercheur en sécurité Marek Tóth a démontré, lors de la conférence DEF CON, comment une technique d'attaque connue sous le nom de "clickjacking" pouvait être utilisée pour siphonner les données des gestionnaires de mots de passe les plus populaires. L'attaque, d'une simplicité déconcertante pour l'utilisateur, exploite la fonction de remplissage automatique des extensions de navigateur pour exposer des informations très sensibles.
Comment fonctionne cette attaque de "clickjacking" ?
L'attaque repose sur une ruse visuelle. Le pirate crée une page web qui affiche des éléments d'apparence inoffensive, comme une bannière de cookies ou un CAPTCHA. En réalité, il superpose de manière invisible les boutons de l'extension de votre gestionnaire de mots de passe par-dessus ces éléments.
Lorsque vous cliquez sur ce que vous croyez être le bouton "Accepter" ou une case à cocher, vous cliquez en fait sur la fonction de remplissage automatique cachée. L'attaque de clickjacking se déclenche alors, et vos données (identifiants, mots de passe, numéros de carte bancaire) sont insérées dans des champs de formulaire contrôlés par le pirate, qui n'a plus qu'à les récupérer.
Quels sont les gestionnaires de mots de passe concernés ?
La recherche de Marek Tóth a porté sur 11 des services les plus utilisés, et tous se sont révélés vulnérables à au moins une variante de l'attaque. Au moment de la publication, plusieurs d'entre eux n'avaient pas encore déployé de correctif complet :
- 1Password
- Bitwarden (correctif en cours de déploiement)
- Enpass
- iCloud Passwords
- LastPass
- LogMeOnce
D'autres, comme Dashlane, NordPass, ProtonPass et Keeper, ont déjà publié des mises à jour pour corriger la faille.
Quelle est la réponse des éditeurs face à cette vulnérabilité ?
Les réponses sont variées et soulignent le compromis entre la sécurité et la commodité d'utilisation. Tandis que des entreprises telles que Bitwarden ont promptement proposé une solution, d'autres grands noms comme 1Password et LastPass soutiennent que la question est intrinsèque à l'utilisation des navigateurs.
Ils soutiennent qu'une solution technique exhaustive est hors de portée pour eux et préfèrent se focaliser sur des actions d'atténuation, telles que l'intégration d'avis de confirmation avant le remplissage automatique des informations de paiement. Cette méthode laisse une part de responsabilité à l'attention de l'utilisateur, coincé entre la commodité et le danger.
Foire Aux Questions (FAQ)
Que signifie le terme « clickjacking » ?
Le « clickjacking », aussi connu sous le nom de détournement de clic, est une méthode malintentionnée visant à duper un utilisateur afin qu'il clique sur un composant d'une page web qui n'est pas celui qu'il pense. L'agresseur superpose une page ou des éléments invisibles sur la page visible afin de rediriger les clics vers des actions non souhaitées.
Comment puis-je assurer ma sécurité jusqu'à la mise en place des correctifs ?
Selon la suggestion du chercheur, la meilleure mesure de sécurité serait de désactiver temporairement l'option de remplissage automatique (autofill) dans les configurations de votre extension. En attendant la mise en place de toutes les corrections, optez pour le transfert manuel de vos identifiants à partir du coffre-fort de votre gestionnaire.
Est-ce que mon extension est mise à jour ?
Il est possible de consulter la version de votre extension de navigateur en accédant aux paramètres d'administration des extensions de votre navigateur (Chrome, Firefox, Edge, etc.). Veillez à disposer de la version la plus récente et activez les mises à jour automatiques.
