Des hackers pourraient être en mesure de pirater ce gestionnaire de mots de passe de premier plan et de voler vos identifiants
L’un des gestionnaires de mots de passe gratuits les plus populaires présente une faille de sécurité majeure qui pourrait permettre à des pirates de voler vos informations d’identification dans le cadre d’une attaque par usurpation d’identité.
La fonction de remplissage automatique du gestionnaire de mots de passe open-source Bitwarden est à l’origine du problème, car elle permet à de mauvais cadres en ligne (iframes), contenus dans des sites web de confiance, de capturer vos données de connexion.
La société d’analyse de sécurité Flashpoint(opens in new tab) a découvert la faille, mais affirme que Bitwarden la connaissait déjà en 2018, mais a choisi de l’ignorer en faveur d’une utilisation continue sur des sites web populaires avec des iframes.
Piratage des iframes
Les iframes sont des éléments HTML utilisés pour intégrer une autre page web dans la page actuelle. Ils sont couramment utilisés pour les publicités, les analyses web, les vidéos et les contenus interactifs.
Flashpoint a découvert que lors de l’utilisation de la fonction de remplissage automatique – qui est désactivée par défaut dans Bitwarden – sur une page web avec une iframe, les informations d’identification sont automatiquement remplies sur la page parente, puis également sur les formulaires à l’intérieur de la page de l’iframe. Et s’il s’agit d’une iframe malveillante contrôlée par des pirates, ceux-ci peuvent voler vos informations d’identification. Même si l’iframe provient d’un domaine externe, cela peut se produire.
« Bien que l’iframe intégrée n’ait accès à aucun contenu de la page mère, elle peut attendre la saisie du formulaire de connexion et transmettre les informations d’identification saisies à un serveur distant sans autre interaction de la part de l’utilisateur », explique Flashpoint.
Flashpoint a toutefois constaté que le risque d’une telle attaque était faible, car de nombreux sites web légitimes et populaires ne contiennent pas d’iframes sur leurs pages de connexion.
Ce qui est plus inquiétant, c’est que la fonction de remplissage automatique de Bitwarden fonctionne même sur les sous-domaines des domaines de base pour lesquels vous avez enregistré un nom d’utilisateur et un mot de passe.
Ces sous-domaines peuvent être utilisés dans le cadre d’escroqueries par hameçonnage, où les acteurs de la menace créent de fausses pages en utilisant des sous-domaines de sites web légitimes pour voler vos données. Flashpoint indique que cela est possible car « certains fournisseurs d’hébergement de contenu permettent d’héberger du contenu arbitraire sous un sous-domaine de leur domaine officiel, qui sert également de page de connexion ».
Les sites d’hébergement gratuits permettent ce type de création de sous-domaines, mais de nombreux domaines légitimes n’autorisent pas l’enregistrement de sous-domaines basés sur eux. Cependant, dans ce cas, un sous-domaine peut toujours être détourné par un pirate.
Bitwarden émet un avertissement lorsque vous activez sa fonction de remplissage automatique, indiquant que « des sites web compromis ou non fiables pourraient en profiter pour voler des informations d’identification ».
Malgré l’annonce du risque d’exploitation des iframes(opens in new tab) en novembre 2018, Bitwarden a décidé de maintenir la fonction de remplissage automatique sur les pages de connexion avec iframes, car de nombreux sites web populaires les utilisent, « par exemple icloud.com utilise une iframe d’apple.com », a déclaré Bitwarden à BleepingComputer(opens in new tab).
Cependant, en ce qui concerne le remplissage automatique des formulaires sur les sous-domaines, Bitwarden a déclaré qu’il publierait une mise à jour à l’avenir pour empêcher le remplissage automatique sur les environnements d’hébergement qui le permettent.
