Dans notre monde numérique moderne, la  sécurité en ligne  est devenue une préoccupation majeure. Alors que de nombreux utilisateurs comptent sur des  gestionnaires de mots de passe  pour protéger leurs informations, une étude récente a révélé des vulnérabilités préoccupantes dans ces outils. Ces révélations ont été mises en lumière par l’expert en cybersécurité  Marek Tóth , à l’occasion de la conférence  DEF CON 33 . Ce dernier a démontré que certaines extensions de navigateurs utilisées pour gérer les mots de passe peuvent être _exploitées_ de manière à exposer les données des utilisateurs, et ce, sans qu’ils en aient forcément conscience.

Une attaque insidieuse

Dans son enquête, Tóth a découvert que pas moins de  onzième extensions  de gestionnaires de mots de passe étaient vulnérables à une technique appelée  clickjacking . Cette méthode consiste à manipuler la présentation des éléments d’une page Web pour que l’utilisateur interagisse involontairement avec des contenus invisibles. En d’autres termes, les attaquants peuvent masquer des éléments d’interface en les rendant invisibles, et ainsi déclencher des actions dans le gestionnaire de mots de passe tout en laissant l’utilisateur dans l’ignorance de l’attaque en cours.

Ce comportement peut être particulièrement dangereux lorsqu’il n’est même pas nécessaire d’utiliser une page malveillante : une simple  vulnérabilité  sur un site parfaitement légitime peut suffire à permettre à un attaquant de capturer des identifiants de connexion. De nombreux gestionnaires remplissent automatiquement les champs non seulement sur les domaines principaux, mais aussi sur des  sous-domaines , ce qui élargit considérablement la  surface d’attaque  sans éveiller les soupçons de l’utilisateur.

Les conséquences pour les utilisateurs

Les implications de ces découvertes sont vastes. Selon les données, près de  40 millions d’installations  de gestionnaires de mots de passe pourraient être potentiellement exposées. Parmi les extensions touchées, on trouve des noms bien connus tels que  1Password ,  Bitwarden , et  LastPass . Alors que certaines de ces entreprises ont déjà commencé à émettre des correctifs, d’autres restent muettes, signalant une nécessité urgente de résilience dans le secteur.

Tóth affirme avoir alerté les fabricants dès avril 2025, mais à la mi-août, plusieurs d’entre eux n’avaient pas encore publié de correctif. Parallèlement, les  données récoltées  par des sites comme  Socket  indiquent que la réactivité des fabricants diffère considérablement. Alors que certains ont reconnu la vulnérabilité et travaillent sur des mises à jour, d’autres, comme 1Password et LastPass, se sont contentés de classifier le problème comme « informatif », ce qui peut indiquer un manque d’urgence dans leur réaction.

Quelles mesures peuvent être prises ?

En attendant les mises à jour de sécurité, les experts recommandent plusieurs précautions. Prenez par exemple l’option de  désactiver l’autocomplétion  des formulaires dans vos gestionnaires de mots de passe; cela peut réduire significativement les risques. Autre suggestion : recourir à des méthodes manuelles, comme le  copier-coller , pour remplir vos informations sensibles. Par ailleurs, il est recommandé de restreindre le remplissage automatique uniquement aux  URL exactes , de sorte à limiter les interactions sur des sous-domaines potentiellement dangereux.

Pour les utilisateurs de navigateurs basés sur Chromium, il est possible de restreindre l’accès aux extensions afin qu’elles ne soient utilisées qu’avec l’accord explicite de l’utilisateur. Cela implique de demander une confirmation à chaque utilisation, renforçant ainsi la  sécurité  lors de la navigabilité sur le web.

Un système à revoir

Il est important de noter que pour qu’une attaque réussisse, certaines conditions doivent être remplies : la  méthode nécessite que l’extension soit déverrouillée , que le navigateur ne soit pas redémarré et que l’utilisateur effectue une action à un moment précis. À ce jour, l’enquête de Tóth n’a pas exploré toutes les extensions de gestion de mots de passe disponibles sur le marché, laissant entendre que  d’autres solutions  pourraient également être vulnérables.

Cette faille met en lumière un point faible dans le  Document Object Model (DOM) , qui représente la structure interne des pages Web. Les extensions de gestion de mots de passe insèrent leurs éléments dans cette structure, et si une page malveillante réussit à manipuler ces éléments, les utilisateurs peuvent involontairement déclencher des actions d’autocomplétion.

Pour conclure, il est crucial que les utilisateurs prennent conscience des risques liés à leurs outils de sécurité numérique et adoptent des pratiques prudentes. La vigilance et la mise à jour régulière de ses outils de sécurité sont des étapes essentielles pour garantir une navigation  sécurisée  en ligne.



F1-ES