Les experts en informatique et en sécurité ont longtemps recommandé d’utiliser des gestionnaires de mot de passe pour assurer la sécurité de vos données de connexion et en un seul endroit. Ils sont généralement considérés comme fiables et sécurisés, mais une vulnérabilité commune a maintenant été découverte chez 11 fournisseurs que les pirates peuvent exploiter. (Voir nos propres recommandations pour les gestionnaires de mots de passe les plus fiables.)
Cette vulnérabilité a été découverte par des chercheurs en sécurité de The Hacker News. Les gestionnaires de mots de passe suivants ont affecté les extensions de navigateur basées sur DOM (modèle d’objet de document):
- 1 password
- Bitwarden
- Plan de dash
- Passer en passe
- Mots de passe iCloud
- Gardien
- Passe-passe
- LogMeonce
- Nordpass
- Proton passe
- Roboford
Cette liste comprend certains des gestionnaires de mot de passe les plus connus et les plus utilisés, affectant environ 40 millions d’utilisateurs dans le monde. Un extrême prudence est donc conseillé. La faille de sécurité n’a pas encore été corrigée par la plupart de ces fournisseurs, donc le vol de données peut encore se produire au moment de la rédaction de cet article.
Comment les pirates obtiennent vos mots de passe
La vulnérabilité en question est connue sous le nom Clickjacking. Les attaquants peuvent attirer les utilisateurs sans méfiance à simuler des sites Web qui imitent de vrais sites Web et semblent trompeusement réels, sauf que ceux qui contiennent des éléments invisibles.
Dans certains cas, les utilisateurs peuvent activer par inadvertance leur gestionnaire de mots de passe en un seul faux clic, qui essaie ensuite d’entrer automatiquement les données d’accès. Les pirates surveillent ces tentatives de tentatives et interfèrent, accédant au gestionnaire de mots de passe et prenant en charge les mots de passe enregistrés. L’attaque passe généralement inaperçue car les utilisateurs ferment simplement la page affectée et ne reçoivent aucun avertissement que quelqu’un a eu accès à son gestionnaire de mots de passe.
Alors pourquoi ces gestionnaires de mots de passe courent-ils maintenant le risque de devenir une passerelle pour les attaques en utilisant cette méthode? Cela est dû au DOM, qui contient une vulnérabilité qui permet ce type d’attaque.
Soit dit en passant, non seulement les mots de passe, mais aussi d’autres types de données sensibles peuvent être interceptés de cette manière, y compris les détails de la carte de crédit stockés, les noms, les adresses, les numéros de téléphone, etc., qui pourraient ensuite être utilisés pour les attaques de phishing.
Bien que la vulnérabilité ait été signalée aux prestataires touchés en avril 2025, un peu moins de la moitié d’entre eux ont répondu à l’avertissement. Bitwarden a fourni une nouvelle version de son plugin qui résout le problème.
Comment se protéger
Il n’y a pas de solution unique pour vous protéger contre le cliquetis. Comme toujours, il est important que vous ne cliquiez jamais sur des liens inconnus ou inattendus, même s’ils conduisent à des sites Web soi-disant légitimes. Il est toujours le plus sûr d’ouvrir manuellement un nouvel onglet dans votre navigateur et de naviguer directement vers le site, ou d’utiliser vos propres signets de confiance pour un accès rapide.
Si vous utilisez un navigateur basé sur le chrome (qui est la plupart des navigateurs de nos jours) et un gestionnaire de mots de passe, il est recommandé de changer les paramètres de remplissage automatique de votre gestionnaire de mots de passe à «sur clic». Il s’agit d’une étape importante qui aide à empêcher les mots de passe d’être entrés ou terminés automatiquement sans que vous confirmez d’abord l’intention.
Alternativement, vous souhaiterez peut-être désactiver l’achèvement automatique des adresses e-mail (et d’autres données) dans les paramètres du navigateur dans la section «Autofill et mots de passe».
