Des chercheurs viennent de découvrir une faille dans Bitwarden, un gestionnaire de mots de passe populaire. S'il est exploité, le bogue pourrait permettre aux pirates d'accéder aux identifiants de connexion, compromettant ainsi divers comptes.
La faille au sein de Bitwarden a été repérée par Point de rupture, une société d'analyse de sécurité. Bien que le problème n'ait pas reçu beaucoup - ou pas du tout - de couverture dans le passé, il semble que Bitwarden en était conscient depuis le début. Voici comment cela fonctionne.
Le risque de sécurité potentiel réside dans la fonction de remplissage automatique de Bitwarden au chargement de la page. Il permet aux cadres en ligne (iframes) d'accéder à vos informations de connexion, et si lesdits iframes sont compromis, vos informations d'identification le sont également. Un iframe est un élément HTML qui permet aux développeurs d'intégrer une page Web différente dans la page sur laquelle vous vous trouvez actuellement. Ils sont souvent utilisés dans le but d'intégrer des publicités, des vidéos ou des analyses Web.
En rapport
- Ces mots de passe embarrassants ont piraté des célébrités
- Les pirates utilisent une nouvelle astuce sournoise pour infecter vos appareils
- OpenAI menace de poursuivre le projet étudiant GPT-4, oublie que vous pouvez l'utiliser gratuitement
Selon Flashpoint, l'utilisation de Bitwarden avec le remplissage automatique activé sur une page contenant des iframes pourrait entraîner un vol de mot de passe. En effet, le remplissage automatique au chargement de la page remplit automatiquement votre identifiant et votre mot de passe à la fois sur la page sur laquelle vous vous trouvez et dans l'iframe - et cela vous expose à certains risques.
Vidéos recommandées
Dans son rapport, Flashpoint a déclaré: "Bien que l'iframe intégré n'ait accès à aucun contenu de la page parent, il peut attendez la saisie du formulaire de connexion et transférez les informations d'identification saisies à un serveur distant sans autre interaction de l'utilisateur.
Il existe cependant un autre moyen pour les pirates de voler vos mots de passe. Le remplissage automatique de Bitwarden au chargement de la page fonctionne également sur les sous-domaines du domaine auquel vous essayez d'accéder, tant que la connexion correspond. Cela signifie que si vous tombez sur une page de phishing, avec un sous-domaine qui correspond au domaine de base pour lequel vous avez enregistré votre mot de passe, Bitwarden peut le fournir automatiquement au pirate.
"Certains fournisseurs d'hébergement de contenu autorisent l'hébergement de contenu arbitraire sous un sous-domaine de leur domaine officiel, qui sert également leur page de connexion. Par exemple, si une entreprise a une page de connexion à https://logins.company.tld et permettre aux utilisateurs de diffuser du contenu sous https://
Ce problème n'apparaîtra pas sur les grands sites Web légitimes, mais les services d'hébergement gratuits permettent de créer de tels domaines. Pourtant, les deux défauts ont une chance assez faible de se produire, c'est pourquoi Bitwarden n'a pas résolu le problème bien qu'il en soit conscient. Afin de continuer à travailler sur des sites Web qui utilisent des iframes, Bitwarden doit laisser cette fenêtre d'opportunité ouverte pour un éventuel hameçonnage et vol de mot de passe.
Il convient de noter que le remplissage automatique au chargement de la page est désactivé dans Bitwarden par défaut, et l'outil avertit les utilisateurs des risques possibles lorsqu'ils activent la fonctionnalité. En réponse au rapport, Bitwarden a déclaré qu'il prévoyait une mise à jour qui bloquerait le remplissage automatique sur les sous-domaines.
Si vous n'utilisez pas encore un outil comme Bitwarden, assurez-vous de consulter notre guide sur le meilleurs gestionnaires de mots de passe. Bitwarden est sur cette liste, et malgré cette faille de sécurité, il mérite toujours sa place – mais peut-être que désactiver le remplissage automatique au chargement de la page pourrait être une bonne idée pour le moment.
Recommandations des éditeurs
- Si vous avez une carte mère Gigabyte, votre PC peut télécharger furtivement des logiciels malveillants
- Les pirates peuvent avoir volé la clé principale à un autre gestionnaire de mots de passe
- Non, 1Password n'a pas été piraté - voici ce qui s'est réellement passé
- L'IA peut probablement déchiffrer votre mot de passe en quelques secondes
- Vos captures d'écran Windows 11 ne sont peut-être pas aussi privées que vous le pensiez
Améliorez votre style de vieDigital Trends aide les lecteurs à garder un œil sur le monde trépidant de la technologie avec toutes les dernières nouvelles, des critiques de produits amusantes, des éditoriaux perspicaces et des aperçus uniques.