Marek Tóth, chercheur en sécurité, a découvert une faille dans les principaux gestionnaires de mots de passe du marché. Comme l’a expliqué l’expert lors d’une conférence à la DEF CON 33, la vulnérabilité permet de voler les informations d’identification du compte, des codes d’authentification deux facteurs et des données de carte de crédit, dont le code CVV.
À lire aussi : Ces 5 gestionnaires de mots de passe Android ont un gros problème de sécurité
Comment les gestionnaires de mots de passe peuvent divulguer vos données ?
Concrètement, un attaquant pourrait exploiter la faille pour mener une opération de « clickjacking ». Il s’agit d’une cyberattaque lors de laquelle un pirate trompe l’utilisateur pour qu’il clique sur quelque chose sans s’en rendre compte, lui accordant l’accès à des données sensibles.
En l’occurrence, l’attaquant va pousser la cible à cliquer sur un bouton qui va activer l’auto-remplissage du gestionnaire de mots de passe. Pour arriver à ses fins, le pirate doit mettre un point une page web piégée qui comprend des éléments HTML invisibles. Ces éléments, comme des bannières cookies, des fenêtres pop-up, ou de faux CAPTCHA, sont conçus pour tromper la cible et lui faire cliquer sur un bouton qui parait inoffensif. En visitant ce site malveillant, la victime communique une foule de données sensibles à son insu. Pour piéger un site, l’attaquant peut se servir d’une faille XSS (Cross-Site Scripting). Elle permet à un tiers d’injecter son propre code JavaScript sur un site.
À lire aussi : Attention, un redoutable malware s’attaque aux gestionnaires de mots de passe
Six gestionnaires de mots de passe toujours vulnérables
Le chercheur a testé onze gestionnaires de mots de passe, à savoir Trousseau iCloud, LastPass, Bitwarden, 1Password, Dashlane, Keeper, NordPass, Proton Pass, RoboForm, Enpass, et LogMeOnce. Il s’est rendu compte que tous les gestionnaires testés par ses soins étaient vulnérables.
Certains des gestionnaires ont promptement pris des mesures pour corriger le tir. C’est le cas de Dashlane, Keeper, NordPass, ProtonPass et de RoboForm. Par contre, les six autres gestionnaires sont encore et toujours vulnérables, en dépit des alertes émises par Marek Tóth dès le mois d’avril 2025.
Les chercheurs de Socket ont pu corroborer les conclusions de Tóth. Selon eux, les versions de 1Password, Bitwarden, Enpass, iCloud Passwords, LastPass et LogMeOnce pour navigateur sont bel et bien susceptibles de divulguer des données personnelles sensibles dans certains scénarios. Au total, ce sont plus de 40 millions d’utilisateurs dont les données sont en danger. Le rapport conseille à tous les gestionnaires d’afficher « systématiquement une fenêtre de confirmation avant tout remplissage automatique ».
Des correctifs en cours chez certains gestionnaires
En dépit des risques, 1Password a minimisé l’importance de la découverte, estimant que « cette technique d’attaque web est connue depuis longtemps et touche aussi bien les sites internet que les extensions de navigateur ». Le souci « vient surtout de la manière dont les navigateurs affichent les pages, ce qui signifie qu’aucune extension ne peut, à elle seule, apporter une solution technique complète », avance le gestionnaire de mots de passe, interrogé par Bleeping Computer.
1Password « nécessite déjà une confirmation avant de remplir automatiquement les informations de paiement, et dans notre prochaine version, nous étendons cette protection afin que les utilisateurs puissent choisir d’activer les alertes de confirmation pour d’autres types de données ». LastPass et LogMeOnce travaillent quant à eux sur un correctif. En miroir de 1Password, LastPass ajoute avoir « intégré certaines protections, comme une alerte qui s’affiche avant tout remplissage automatique de cartes bancaires ou de données personnelles sur les sites web ». Bitwarden précise quant à lui que la version 2025.8.0, déployée cette semaine, devrait colmater la faille.
En attendant que tous les gestionnaires corrigent la vulnérabilité, on vous recommande chaudement de désactiver le remplissage automatique de votre gestionnaire de mots de passe. Passez plutôt par le presse-papier pour copier/ coller vos mots de passe. Cette précaution temporaire évitera qu’une page web piégée puisse vous manipuler pour obtenir des données personnelles. Par ailleurs, « vérifiez que les mises à jour automatiques sont activées et que vous utilisez les dernières versions » de votre gestionnaire, conseille Marek Tóth.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Marek Tóth
