Des chercheurs en sécurité ont identifié plusieurs vulnérabilités dans des gestionnaires de mots de passe utilisés par des millions d’internautes. Avec notamment une nouvelle technique d’attaque ciblant les extensions de navigateurs via le DOM.
On le répète quasiment chaque jour : le gestionnaire de mots de passe constitue aujourd'hui le meilleur moyen pour sécuriser l'accès à ses comptes en ligne. Pourtant, alors que ces derniers se démocratisent, ils deviennent eux-aussi la cible de plusieurs attaques.
Oui, votre gestionnaire de mots de passe est concerné
Une étude menée par le Software Engineering Institute de Carnegie Mellon, relayée par l’US-CERT, a examiné onze gestionnaires de mots de passe parmi lesquels 1Password, LastPass, RoboForm, My1login, PasswordBox, KeePass, Password Gorilla, Proton Pass ou encore SecureSafe. Au total, plus de 40 millions d’utilisateurs sont concernés par des vulnérabilités.
Les failles ne provenaient pas des algorithmes de chiffrement implémentés par les éditeurs. Les données sont bel et bien chiffrées correctement. Les problèmes découlent plutôt de la façon dont ces applications gèrent les identifiants une fois déchiffrés. Dans plusieurs cas, les mots de passe étaient enregistrés temporairement dans la mémoire ou dans des fichiers accessibles à d’autres programmes. Certains gestionnaires ne verrouillaient pas systématiquement la session après usage, laissant donc l’utilisateur exposé si son appareil était compromis.
Ces vulnérabilités ont été dévoilées en avril ; quatre mois plus tard, tous les éditeurs n'auraient pas encore déployé un correctif. On vous l'accord…. Difficile dans ce cas de figure de faire aveuglément confiance à son gestionnaire de mots de passe.
Des extensions de navigateurs vulnérables
Dans une autre recherche, présentée par The Hacker News, des experts ont décrit une vulnérabilité spécifique aux extensions de navigateurs, baptisée "DOM-Based Extension Clickjacking".
Une extension de navigateur pour un gestionnaire de mots de passe peut bien souvent injecter des éléments invisibles (comme des boutons ou des champs cachés) dans la page web. Ces éléments sont créés volontairement par l’extension pour offrir des fonctions pratiques, telles que l’auto-remplissage ou la gestion des identifiants. Ce comportement est prévu et sert à faciliter l’utilisation de l’extension – il s’agit d’éléments “légitimes”, intégrés au DOM de la page par l’extension elle-même.
Dans une attaque DOM-Based Extension Clickjacking, le danger ne vient donc pas de ces éléments de l’extension, mais d’une page web spécialement conçue par un pirate. Ici, le hacker construit une page piégée qui ajoute ses propres couches invisibles (par exemple, un bouton « fantôme » ou une fenêtre cachée) à l’emplacement stratégique où l’extension a injecté ses éléments.
Puisque ces éléments sont transparents, la victime interagit avec la page comme d’habitude : elle clique sur ce qu’elle pense être un bouton classique. En réalité, l’élément placé par le hacker récupère ce clic et le redirige. Cette manipulation permet à l’attaquant de déclencher, via la page web, une action de l’extension : par exemple, autoriser le remplissage automatique de mots de passe ou accéder à des données sensibles, sans éveiller le moindre soupçon pour l’utilisateur.
