Image by Volodymyr Kondriianenko, from Unsplash
Les gestionnaires de mots de passe fuient les données lors d’une nouvelle attaque de détournement de clics
Temps de lecture: 3 minute
Dernière mise à jour : Aug 21, 2025
-
![Kiara Fabbri]()
-
![L'équipe de localisation et de traduction]()
Traduit par L'équipe de localisation et de traduction L'équipe de localisation et de traduction
Une nouvelle étude avertit que des millions d’utilisateurs de gestionnaires de mots de passe pourraient être vulnérables à une dangereuse exploitation de navigateur appelée « Détournement de clic basé sur DOM ».
Pressée ? Voici les faits essentiels :
- Les attaquants peuvent tromper les utilisateurs pour qu’ils remplissent automatiquement les données avec un seul faux clic.
- Les données divulguées comprennent les cartes de crédit, les identifiants de connexion, et même les codes à deux facteurs.
- 32,7 millions d’utilisateurs restent exposés car certains fournisseurs n’ont pas corrigé les failles.
La chercheuse à l’origine de ces découvertes a expliqué : « Le détournement de clics reste une menace pour la sécurité, mais il est nécessaire de passer des applications web aux extensions de navigateur, qui sont plus populaires de nos jours (gestionnaires de mots de passe, portefeuilles de cryptomonnaies et autres). »
L’attaque fonctionne en trompant les utilisateurs pour qu’ils cliquent sur des éléments factices, y compris des bannières de cookies et des pop-ups captcha, pendant qu’un script invisible active secrètement la fonction de remplissage automatique du gestionnaire de mots de passe. Les chercheurs expliquent que les attaquants n’avaient besoin que d’un seul clic pour voler des informations sensibles.
«Un seul clic n’importe où sur un site Web contrôlé par un attaquant pourrait permettre aux attaquants de voler les données des utilisateurs (détails de la carte de crédit, données personnelles, identifiants de connexion y compris le TOTP)», indique le rapport.
La chercheuse a testé 11 gestionnaires de mots de passe populaires, dont 1Password, Bitwarden, Dashlane, Keeper, LastPass et iCloud Passwords. Les résultats étaient alarmants : « Tous étaient vulnérables au ‘DOM-based Extension Clickjacking’. Des dizaines de millions d’utilisateurs pourraient être à risque (~40 millions d’installations actives). »
Les tests ont révélé que six gestionnaires de mots de passe sur neuf exposaient les détails des cartes de crédit, tandis que huit gestionnaires sur dix divulgaient des informations personnelles. De plus, dix sur onze permettaient aux attaquants de voler les identifiants de connexion stockés. Dans certains cas, même les codes d’authentification à deux facteurs et les clés d’accès pourraient être compromis.
Bien que les vendeurs aient été alertés en avril 2025, les chercheurs notent que certains d’entre eux, tels que Bitwarden, 1Password, iCloud Passwords, Enpass, LastPass et LogMeOnce n’ont pas encore corrigé les failles. Cela est particulièrement préoccupant car il laisse environ 32,7 millions d’utilisateurs exposés à cette attaque.
Les chercheurs ont conclu : « La technique décrite est générale et je ne l’ai testée que sur 11 gestionnaires de mots de passe. D’autres extensions manipulant le DOM sont probablement vulnérables (gestionnaires de mots de passe, portefeuilles crypto, notes, etc.). »
Article précédent
Derniers articles 
