Selon BleepingComputer, six gestionnaires de mots de passe très répandus présentent des vulnérabilités de type clickjacking qui ne sont pas encore corrigées.
Lors de la conférence de cybersécurité DEF CON 33, le chercheur indépendant Marek Tóth a mis en lumière une faille critique touchant plusieurs gestionnaires de mots de passe populaires, pouvant exposer les identifiants, codes 2FA et informations bancaires de dizaines de millions d’utilisateurs. Selon BleepingComputer, six applications largement utilisées – dont 1Password, Bitwarden, Enpass, iCloud Passwords, LastPass et LogMeOnce – sont vulnérables à une technique de type clickjacking.
Cette attaque consiste à superposer des éléments invisibles à l’écran lors de la visite d’un site malveillant ou compromis (via XSS ou cache poisoning). L’utilisateur pense cliquer sur une bannière ou un CAPTCHA, mais active en réalité l’autoremplissage du gestionnaire de mots de passe, laissant fuiter ses données. Tóth a démontré plusieurs variantes de cette manipulation, allant de l’opacité des menus à des interfaces qui suivent le curseur, rendant toute interaction risquée.
La gravité de la faille réside dans sa portée universelle : un seul script peut détecter automatiquement quel gestionnaire est actif dans un navigateur et adapter l’attaque en conséquence. Malgré l’alerte envoyée aux éditeurs dès avril, les réponses sont mitigées. Bitwarden affirme avoir corrigé la vulnérabilité dans sa dernière version, tandis que Dashlane, NordPass, ProtonPass, RoboForm et Keeper ont déjà publié des correctifs. En revanche, 1Password considère la menace comme un risque “général du web”, et LastPass comme “informatif”, même si ce dernier dit travailler à renforcer ses protections.
La situation concerne potentiellement 40 millions d’utilisateurs encore exposés si leurs applications ne sont pas mises à jour. Les entreprises rappellent que l’autoremplissage, bien que pratique, représente une surface d’attaque difficile à sécuriser totalement. 1Password, par exemple, promet d’introduire davantage de confirmations avant l’insertion automatique de données sensibles.
En attendant la diffusion des correctifs, la principale recommandation pour les utilisateurs est de désactiver l’autoremplissage et de privilégier le copier-coller manuel. Une habitude contraignante, mais qui reste la solution la plus sûre pour éviter que des cybercriminels n’exploitent ces failles lors d’une simple navigation. Cet épisode illustre un paradoxe fréquent en cybersécurité : l’équilibre délicat entre confort d’utilisation et protection maximale des données.
-
Des failles de clickjacking affectent six gestionnaires de mots de passe comptant des dizaines de millions d’utilisateurs. ⚠️
-
Impact potentiel: vol de données sensibles stockées dans ces coffres, notamment:
- Identifiants de comptes (logins/mots de passe)
- Codes 2FA
- Détails de cartes bancaires 💳
TTPs observés: Clickjacking.
Type: article de presse spécialisé; But: informer sur des vulnérabilités non corrigées touchant des gestionnaires de mots de passe.
🔗 Source originale : https://www.bleepingcomputer.com/news/security/major-password-managers-can-leak-logins-in-clickjacking-attacks/