Présentée à la DEF CON 33, une nouvelle attaque par clickjacking s’en prend directement aux extensions de gestionnaires de mots de passe. À la clé, un accès silencieux à vos identifiants, données personnelles, cartes bancaires ou codes 2FA.

Gestionnaire de mot de passe : une nouvelle faille menace ces services bien connus du grand public. © Koshiro K / Shutterstock
Gestionnaire de mot de passe : une nouvelle faille menace ces services bien connus du grand public. © Koshiro K / Shutterstock
L'info en 3 points
  • À la DEF CON 33, Marek Tóth a montré que des extensions de gestionnaire de mots de passe peuvent être détournées via clickjacking pour extraire identifiants, cartes et codes 2FA.
  • La technique exploite le menu d’autoremplissage injecté dans le DOM : rendu invisible ou recouvert, il peut être cliqué à la place d’un élément apparent.
  • Solutions temporaires : désactiver l’autoremplissage, restreindre l’accès de l’extension au clic, et utiliser une appli 2FA séparée.

Le clickjacking, c’est dépassé ? Pas tout à fait. Surtout quand la cible n’est plus un site web, mais une extension de navigateur. C’est ce qu’a démontré le chercheur en sécurité Marek Tóth à la DEF CON 33, en parvenant à détourner les menus d’autoremplissage affichés par les plugins de gestionnaires de mots de passe pour en extraire identifiants, codes 2FA, données personnelles ou informations bancaires. La méthode a été testée avec succès sur onze services très répandus, parmi lesquels 1Password, Bitwarden, iCloud Passwords, LastPass, NordPass, ou encore Proton Pass. Malgré un signalement responsable effectué en avril, plusieurs éditeurs n’ont toujours pas corrigé la faille.

Ce n’est pas une bannière de cookies, c’est un piège

Dans le détail, l’attaque s’appuie sur un comportement bien connu des extensions web de gestionnaires de mots de passe. Lorsqu’un champ de formulaire est activé, ces modules injectent dans la page un menu d’autoremplissage, qui permet à l’internaute de sélectionner un identifiant ou une carte bancaire enregistrée pour le domaine. Ce menu n’est pas une fenêtre indépendante, mais un élément HTML ajouté directement à la structure de la page, dans ce qu’on appelle le DOM – l’arbre qui décrit tous les éléments visibles ou interactifs d’un site web.

Et c’est précisément ce qui le rend détournable. Une fois dans le DOM, ce menu peut être manipulé comme n’importe quel autre composant du site : déplacé, masqué, recouvert… voire déclenché à l’insu de l’utilisateur ou l’utilisatrice. Un comportement que Marek Tóth a réussi à exploiter en orchestrant une série d’interactions parfaitement calibrées.

Dans sa démonstration, il force l’apparition du menu d’autoremplissage, puis le rend invisible (opacité 0) ou le recouvre d’un leurre graphique intrusif – une bannière de cookies, un pop-up de connexion ou un captcha bidon, autant d’éléments sur lesquels les internautes sont habitués à cliquer sans y penser. L’utilisateur ou l’utilisatrice pense interagir avec un élément classique de la page, mais clique en réalité sur le menu invisible. Le gestionnaire de mots de passe interprète cette action comme une sélection légitime et remplit automatiquement les champs associés.

Ici, deux scénarios possibles. Sur un site frauduleux, contrôlé par l’attaquant, le piège permet d’exfiltrer des données non liées à un domaine précis, comme les informations personnelles ou bancaires : un seul clic suffit pour obtenir un numéro de carte, son expiration et son code CVC, ou encore une adresse complète. En revanche, pour les identifiants, mots de passe, codes TOTP et passkeys (dans certains cas spécifiques côté serveur), l’attaquant doit réussir à injecter son script malveillant sur un domaine de confiance – par exemple via une faille XSS sur un sous-domaine vulnérable. Le gestionnaire considère alors qu’il s’agit d’un site légitime et y déverse les informations enregistrées.

Tableau démontrant le nombre de clics nécessaires pour récupérer les données stockées dans les gestionnaires de mots de passe vulnérables. © Marek Tóth
Tableau démontrant le nombre de clics nécessaires pour récupérer les données stockées dans les gestionnaires de mots de passe vulnérables. © Marek Tóth

Des millions d’installations encore vulnérables, et maintenant ?

Marek Tóth a transmis ses résultats aux éditeurs concernés dès avril 2025. NordPass, RoboForm, Proton Pass, Dashlane, Enpass et Keeper, ont publié un correctif rapidement après avoir été prévenus. En revanche, Bitwarden, 1Password, iCloud Passwords, LastPass, LogMeOnce n’avaient toujours pas réagi au moment de la DEF CON, laissant encore plus de 32 millions d’installations actives exposées.

Alors que faire ? La première étape consiste à vérifier que vous utilisez bien la dernière version de votre gestionnaire et de votre navigateur. Si votre outil figure encore dans la liste des extensions vulnérables, le plus prudent reste de désactiver l’autoremplissage manuel et de vous astreindre à copier-coller vos mots de passe et données bancaires chaque fois que vous en avez besoin. C’est moins pratique, certes, mais beaucoup plus sûr.

Vous pouvez aussi limiter l’autofill au domaine exact, afin d’éviter que vos identifiants ne soient proposés sur des sous-domaines piégés. Enfin, sur les navigateurs Chromium (Chrome, Edge, Brave…), il est possible de restreindre le comportement de l’extension grâce au réglage « accès au site > en cas de clic ». Autrement dit, l’extension ne s’active que si vous cliquez volontairement sur son icône dans la barre du navigateur, ce qui empêche tout remplissage automatique à votre insu.

Enfin, pensez à générer vos codes TOTP à partir d’une appli 2FA distincte de votre gestionnaire de mots de passe. En cas de compromission de vos identifiants, vos comptes sécurisés par l’authentification à deux facteurs resteront ainsi inaccessibles.

Source : Marek Tóth

À découvrir
Meilleur gestionnaire de mots de passe gratuit ou payant, le comparatif en août 2025
28 juillet 2025 à 17h03
Comparatifs services