Selon Malwarebytes, le chercheur Marek Tóth a présenté à DEFCON une attaque de clickjacking ciblant la majorité des gestionnaires de mots de passe basés sur des extensions (notamment 1Password, LastPass, NordPass, Enpass). L’attaque manipule la page pour tromper l’utilisateur et amener l’extension à renseigner des données sensibles sans qu’il s’en aperçoive.
L’attaque repose sur la manipulation du DOM pour rendre invisible le sélecteur déroulant de l’extension du gestionnaire et placer un calque (overlay) invisible au-dessus d’un élément apparemment légitime. En cliquant, l’utilisateur actionne en réalité le sélecteur de l’extension, qui remplit et révèle les secrets. TTPs observées:
- Clickjacking / superposition d’éléments invisibles 🎯
- Manipulation DOM côté client (réagencement/masquage d’éléments)
- Détournement du sélecteur de comptes des extensions
- Abus de l’autoremplissage des champs sensibles
L’impact dépasse les seuls identifiants: l’attaque peut extraire des informations de carte bancaire, des données personnelles (nom, téléphone), des passkeys et des codes TOTP. Les leurres cliquables évoqués incluent des bannières cookies, des boutons d’authentification, des avertissements de contenu sensible, ou des vérifications d’âge (« Es-tu bien majeur ? ») ⚠️
État des correctifs selon Tóth (au début de semaine de publication):
- ✅ Déjà corrigé: Dashlane, Keeper, NordPass, ProtonPass, RoboForm
- 🛠️ En cours de correction: Bitwarden, Enpass, Apple (iCloud Passwords)
- 📝 Classé « informatif » et pas encore corrigé: 1Password
- 🧩 Partiellement corrigé: LastPass (corrigé pour données personnelles et cartes; pas encore pour identifiants, passkeys, TOTP)
- ❓ Pas de réponse: LogMeOnce
Mesures proposées par le chercheur: activer les mises à jour automatiques et utiliser la dernière version; désactiver l’autoremplissage ou, plus pratique, configurer l’extension pour n’opérer qu’“au clic” (Chromium: paramètres de l’extension > accès au site > « au clic ») afin d’empêcher ce détournement.
Type d’article: article de presse spécialisé. But principal: informer sur une vulnérabilité de type clickjacking affectant des extensions de gestionnaires de mots de passe, détailler la méthode, l’impact et l’état des correctifs chez les éditeurs.
🔗 Source originale : https://www.malwarebytes.com/blog/news/2025/08/clickjack-attack-steals-password-managers-secrets