Protégez-vous des attaques de type DOM-Clickjacking : aperçu des gestionnaires de mots de passe les plus vulnérables

Protégez-vous des attaques de type DOM-Clickjacking : aperçu des gestionnaires de mots de passe les plus vulnérables

Les gestionnaires de mots de passe sont conçus pour protéger vos mots de passe et vos informations sensibles, mais ils peuvent aussi être exploités, permettant ainsi à des attaquants d’accéder à ces informations. Une nouvelle méthode de détournement de clic basée sur le DOM peut tromper certains gestionnaires de mots de passe et les amener à saisir automatiquement des informations d’identification dans des formulaires malveillants. Nous expliquons ci-dessous le fonctionnement de cette attaque et comment renforcer vos défenses.

Comprendre la vulnérabilité des gestionnaires de mots de passe

Des découvertes récentes mettent en évidence une faille DOM (Document Object Model) qui facilite une variante du détournement de clics, permettant aux acteurs malveillants d’activer subrepticement la fonction de saisie automatique des gestionnaires de mots de passe. Cela peut entraîner le vol de données sensibles, telles que les mots de passe, les codes TOTP/2FA et les informations de carte bancaire. Le mécanisme de cette attaque se déroule comme suit :

  • L’utilisateur atterrit sur une page Web contrôlée par l’attaquant, qui présente un élément cliquable apparemment bénin, par exemple une bannière de consentement aux cookies ou un bouton de fermeture contextuel.
  • En utilisant des astuces de visibilité DOM, l’attaquant positionne un formulaire invisible sur l’élément cliquable légitime en définissant opacity:0.
  • En cliquant, le gestionnaire de mots de passe de l’utilisateur remplit automatiquement le formulaire caché avec les informations d’identification enregistrées, permettant aux cybercriminels de les capturer.

Cette opération se déroule silencieusement, souvent sans que l’utilisateur ne se rende compte que ses informations ont été compromises. Une étude récente a évalué 11 gestionnaires de mots de passe de premier plan, suggérant que la plupart d’entre eux dotés de fonctions de saisie automatique sont vulnérables. Face à ces résultats, plusieurs gestionnaires de mots de passe ont publié des mises à jour intégrant une invite de confirmation pour la saisie automatique, mais nombre d’entre eux restent vulnérables.

Cependant, la plupart de ces correctifs fonctionnent comme des correctifs temporaires qui ne résolvent pas le problème sous-jacent, lié au rendu des pages web des navigateurs. Comme le souligne 1Password, « le problème principal réside dans la manière dont les navigateurs affichent les pages web ; nous pensons qu’une solution technique complète ne peut pas être apportée uniquement par les extensions de navigateur.»

Pour atténuer les risques associés aux attaques de détournement de clic, tenez compte des bonnes pratiques suivantes, en plus de maintenir à jour votre extension de gestionnaire de mots de passe.

Désactiver la saisie automatique dans votre gestionnaire de mots de passe

Le remplissage automatique étant la principale fonctionnalité exploitée par ces attaques, sa désactivation peut considérablement renforcer votre sécurité. Au lieu de remplir automatiquement les champs, vous devrez les remplir manuellement en cliquant sur un bouton dédié lorsque cela est nécessaire.

Désactiver le remplissage automatique dans 1Password

Pour désactiver la saisie automatique, accédez aux paramètres de votre extension de gestionnaire de mots de passe et localisez l’option sous la section « Remplissage automatique et enregistrement ».Désactivez la saisie automatique au moment du focus pour éviter la saisie automatique.

Configurer des extensions pour un accès au clic ou spécifique au site

La plupart des navigateurs permettent de configurer des extensions pour qu’elles s’activent soit exclusivement sur certains sites web, soit uniquement lors de l’activation manuelle via l’icône d’extension. En définissant ces paramètres, vous vous protégez efficacement contre les actions de saisie automatique indésirables sur les sites destinés à la navigation générique.

Accédez à la page « Extensions » de votre navigateur, puis aux informations de votre gestionnaire de mots de passe. Recherchez la section « Accès aux sites », généralement définie sur « Sur tous les sites » par défaut. Réglez-la sur « Au clic » ou spécifiez certains sites selon votre choix. Sélectionner « Au clic » limite l’activation au clic sur l’icône, tandis que « Sur des sites spécifiques » l’active uniquement sur des sites web prédéfinis.

Activation des autorisations de site au clic dans le navigateur

Optez pour des applications de bureau ou mobiles plutôt que pour des extensions de navigateur

Les attaques de clickjacking ciblant principalement les extensions de navigateur, exploiter les applications natives de votre gestionnaire de mots de passe, qu’elles soient de bureau ou mobiles, peut réduire votre vulnérabilité. Ces applications offrent généralement des options de recherche et de copie simples pour simplifier les processus de saisie manuelle.

Lorsque vous accédez à une page de connexion, recherchez simplement vos informations d’identification dans l’application du gestionnaire de mots de passe et utilisez la fonction de copie pour faciliter la saisie.

Utiliser une extension de blocage de script

De nombreuses attaques de clickjacking s’appuient fortement sur des scripts exécutés sur la page web, ce qui fait des bloqueurs de scripts une ligne de défense efficace. Bien que le blocage de JavaScript puisse contrecarrer ces attaques, nous recommandons une approche plus large en bloquant tous les scripts des domaines non approuvés pour une sécurité optimale.

Extension NoScript sur maketecheasier.com

NoScript est une extension robuste qui répond à ce besoin, disponible pour Chrome et Firefox. Elle bloque automatiquement divers types de scripts actifs, dont JavaScript, vous permettant ainsi d’activer sélectivement des scripts sur des sites de confiance.

Conseil bonus : améliorez la sécurité de votre compte

Pour se prémunir contre le vol d’identifiants, il est essentiel de mettre en œuvre une mesure de sécurité supplémentaire. L’authentification à deux facteurs (2FA) est fortement recommandée. Cependant, privilégiez une méthode 2FA robuste, au-delà de la simple vérification par SMS, souvent compromise. Le TOTP est un bon point de départ, mais assurez-vous que l’application d’authentification se trouve sur un autre appareil. De plus, envisagez l’utilisation de clés d’accès ou de clés de sécurité matérielles pour une protection encore plus renforcée.

Pour limiter les vulnérabilités potentielles, évitez de recourir excessivement aux solutions de connexion automatique. Bien que cela puisse nécessiter des étapes supplémentaires, ce léger inconvénient renforce considérablement votre sécurité, surtout si vous stockez de nombreuses informations sensibles dans votre gestionnaire de mots de passe.

Source et images

Articles connexes:

Un juge antitrust déclare que Google n'est pas tenu de céder Chrome ou Android, qualifiant les mesures correctives d'« exagération »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *