Passkeys

Source: SANS Internet Storm Center (Diary du 2025-09-21) par Johannes Ullrich. Contexte: retour sur une campagne de phishing en cours contre des comptes développeurs NPM et sur les méthodes d’authentification résistantes au phishing. — Faits rapportés: des e‑mails de phishing bien rédigés et une page de destination convaincante ont suffi pour piéger des développeurs NPM. Le domaine « npmjs.help » a été utilisé, et « npmjs.cam » (TLD .CAM et non .COM) a été enregistré peu après, même si ce dernier n’est pas joignable au moment évoqué. 🎣 ...

Source et contexte: Recherche publiée par Marek Tóth (présentée à DEF CON 33), initialement le 9 août 2025 et mise à jour le 20 août 2025, portant sur une nouvelle technique de clickjacking ciblant les interfaces injectées par des extensions de navigateur. La recherche décrit une nouvelle technique générale de DOM-based Extension Clickjacking: un script malveillant rend invisibles (opacity/pointer-events/overlays/Popover API) les éléments d’UI injectés par les extensions dans le DOM, tout en restant cliquables. Testée sur 11 gestionnaires de mots de passe, la méthode a montré que tous étaient vulnérables à ce type d’attaque (et certains aussi à la variante IFRAME via web_accessible_resources mal configurés). ...

Selon un article publié le 10 mai 2025, le gouvernement britannique a annoncé son intention de déployer la technologie des passkeys pour ses services numériques, remplaçant ainsi le système actuel de vérification par SMS. Cette annonce a été faite lors de l’événement CYBERUK, une conférence phare en matière de cybersécurité. Les passkeys sont des clés numériques uniques associées à des appareils spécifiques, comme un téléphone ou un ordinateur portable, permettant aux utilisateurs de se connecter en toute sécurité sans nécessiter de message texte ou de code supplémentaire. Cette méthode est considérée comme plus sécurisée car la clé reste stockée sur l’appareil et ne peut pas être facilement interceptée ou volée, ce qui les rend résistantes au phishing. ...