L’utilisation des gestionnaires de mots de passe est recommandée pour sécuriser les données de connexion, mais une faille récemment découverte dans 11 de ces outils met en péril environ 40 millions d’utilisateurs.
Cette faille, identifiée par des chercheurs en sécurité, concerne les extensions de navigateur basées sur le DOM (Document Object Model), utilisées par des gestionnaires tels que 1Password, Bitwarden, et Dashlane. Le problème réside dans une technique appelée clickjacking, où des utilisateurs sont trompés par des sites web factices imitant les véritables. Un simple clic erroné active le gestionnaire de mots de passe, permettant aux hackers d’intercepter les tentatives de connexion et de s’emparer des mots de passe sauvegardés. Ce type d’attaque passe souvent inaperçu et les données volées peuvent inclure des informations sensibles telles que des numéros de carte de crédit et des adresses, pouvant être utilisées pour des attaques de phishing.
La faille clickjacking repose sur une vulnérabilité du DOM, exposant non seulement les mots de passe, mais aussi d’autres données personnelles stockées. Cette faille a été signalée aux fournisseurs concernés en avril 2025, mais moins de la moitié ont pris des mesures correctives. Bitwarden a néanmoins publié une nouvelle version de son plugin pour remédier au problème. Malgré cela, la menace persiste pour les utilisateurs des gestionnaires non mis à jour. Pour se protéger, il est crucial de ne pas cliquer sur des liens suspects et de naviguer directement vers les sites en utilisant des favoris de confiance. Les utilisateurs de navigateurs basés sur Chromium sont invités à modifier les paramètres de remplissage automatique de leur gestionnaire de mots de passe pour exiger une confirmation avant de remplir des champs automatiquement.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Le DOM, ou Document Object Model, est une représentation structurée d’une page web que les navigateurs créent lorsqu’ils chargent une page HTML. Il s’agit d’une interface de programmation (API) qui permet aux langages comme JavaScript d’accéder, de modifier et d’interagir dynamiquement avec le contenu, la structure et le style d’une page.
🔐 Et en cybersécurité ?
Le DOM peut être détourné par des attaquants pour manipuler ce que l’utilisateur voit ou fait sur une page. Par exemple, avec le clickjacking, un hacker peut tromper l’utilisateur en insérant des éléments invisibles ou modifiés dans le DOM pour le pousser à cliquer sur quelque chose qu’il ne voit pas vraiment — comme activer un gestionnaire de mots de passe sans le savoir.
Les gestionnaires de mots de passe sont un allié précieux dans la gestion des identifiants, mais cette faille démontre qu’ils ne sont pas infaillibles. Pour limiter les risques de clickjacking, il est recommandé de désactiver le remplissage automatique des adresses e-mail et d’autres données dans les paramètres du navigateur. Comme le souligne PCWorld, maintenir les plugins de gestionnaires de mots de passe à jour est essentiel pour réduire les risques de sécurité.
Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.
