Des chercheurs ont découvert une vulnérabilité qui permet de voler des informations sensibles des extensions de navigateur des gestionnaires de mots de passe en un seul clic.
Les gestionnaires de mots de passe sont généralement un coffre-fort bien sécurisé, mais ils semblent avoir une faiblesse majeure. Celle-ci a été récemment découverte par le chercheur en sécurité Marek Tóth. La vulnérabilité permettrait aux attaquants de voler des données via des extensions de navigateur en un simple clic et affecte plusieurs gestionnaires de mots de passe populaires tels que 1Password, LastPass et iCloud.
La méthode d’attaque, rebaptisée clickjacking, est décrite en détail dans un blog. En abusant de la manière dont les extensions de navigateur injectent des éléments d’interface utilisateur dans les pages web, les attaquants peuvent intercepter les données des utilisateurs telles que les identifiants, les codes 2FA, les mots de passe, les informations de carte de crédit et les informations personnelles. Tous les services vulnérables n’ont pas encore publié de correctif.
Un clic, plusieurs violations de données
L’attaque utilise la manipulation visuelle : les attaquants placent des formulaires de saisie invisibles sous des éléments dits « intrusifs » tels que des bannières de cookies ou des fenêtres contextuelles. Lorsque l’utilisateur clique par exemple sur « Accepter les cookies », il active inconsciemment le formulaire de saisie qui est rempli par le gestionnaire de mots de passe. Les données sont ensuite transmises à un serveur contrôlé par l’attaquant.
Tóth a testé onze gestionnaires de mots de passe et a constaté que tous étaient vulnérables à cette technique dans leur configuration standard. Il s’est avéré que les données ne sont pas seulement remplies automatiquement sur le domaine principal, mais aussi sur les sous-domaines. Par conséquent, une seule vulnérabilité XSS suffit pour soutirer les données des utilisateurs.
En attendant un correctif
Bitwarden, Dashlane, NordPass, RoboForm, Keeper, Enpass et ProtonPass, entre autres, ont déjà publié un correctif. Mais une réponse de 1Password, iCloud Passwords, LastPass, LogMeOnce et KeePassXC-Browser, par exemple, se fait toujours attendre. Ensemble, ces gestionnaires de mots de passe comptent des dizaines de millions d’utilisateurs actifs.
lire aussi
Un talon d’Achille dans les gestionnaires compromet des millions de mots de passe en un seul clic
Le meilleur conseil est d’installer la mise à jour si elle est disponible. Vous pouvez également désactiver la fonction de remplissage automatique ou réinitialiser l’accès aux extensions pour les navigateurs basés sur Chromium. Ainsi, l’utilisateur obtient un contrôle manuel sur quand et où l’extension est active.
Le chercheur souligne que la technique décrite est largement applicable et que d’autres extensions de navigateur telles que les portefeuilles de crypto-monnaies ou les extensions de notes sont également potentiellement vulnérables. Jusqu’à ce que des mesures de sécurité structurelles soient intégrées aux plateformes de navigateur, le clickjacking via les extensions reste une menace réelle.