L’un des gestionnaires de mots de passe gratuits les plus populaires présente une faille de sécurité majeure qui pourrait permettre aux pirates de voler vos informations d’identification lors d’une attaque d’usurpation d’identité.
La fonction de remplissage automatique du gestionnaire de mots de passe open source Bitwarden est à l’origine du problème, permettant aux mauvais cadres en ligne (iframes) contenus dans des sites Web de confiance de capturer vos informations de connexion.
Cabinet d’analyse de sécurité Flashpoint (s’ouvre dans un nouvel onglet) a découvert la faille, mais affirme que Bitwarden était au courant dès 2018, mais a choisi de l’ignorer en faveur de l’autorisation de son utilisation continue sur des sites Web populaires avec des iframes.
Piratage d’iframe
Les iframes sont des éléments HTML utilisés pour intégrer une autre page Web dans la page actuelle. Ils sont couramment utilisés pour les publicités, les analyses Web, les vidéos et le contenu interactif.
Flashpoint a découvert que lors de l’utilisation de la fonction de remplissage automatique – qui est désactivée par défaut dans Bitwarden – sur une page Web avec un iframe, les informations d’identification sont automatiquement remplies sur la page parente, puis également sur les formulaires de la page iframe. Et s’il s’agit d’un iframe malveillant contrôlé par des pirates, ils peuvent voler vos informations d’identification. Même si l’iframe provient d’un domaine externe, cela se produira toujours.
« Bien que l’iframe intégré n’ait accès à aucun contenu de la page parent, il peut attendre une entrée dans le formulaire de connexion et transmettre les informations d’identification saisies à un serveur distant sans autre interaction de l’utilisateur », a déclaré Flashpoint.
Cependant, Flashpoint a constaté que le risque d’une telle attaque était faible car de nombreux sites Web légitimes et populaires ne contiennent pas d’iframes sur leurs pages de connexion.
Plus préoccupant, cependant, était que la fonction de remplissage automatique de Bitwarden fonctionnerait même sur des sous-domaines de domaines de base pour lesquels vous avez un nom d’utilisateur et un mot de passe enregistrés.
Ces sous-domaines peuvent être utilisés dans des escroqueries par hameçonnage, où des pirates créent de fausses pages en utilisant des sous-domaines de sites Web légitimes pour voler vos coordonnées. Selon Flashpoint, cela est possible car « certains hébergeurs de contenu autorisent l’hébergement de contenu arbitraire sous un sous-domaine de leur domaine officiel, qui sert également leur page de connexion ».
Les sites d’hébergement gratuits permettent ce type de création de sous-domaines, mais il existe de nombreux domaines légitimes qui n’autorisent pas l’enregistrement de sous-domaines basés sur eux. Cependant, dans ce cas, un sous-domaine pourrait toujours être piraté par un pirate.
Bitwarden émet un avertissement lorsque vous activez sa fonction de remplissage automatique, indiquant que « des sites Web compromis ou non fiables pourraient en profiter pour voler des informations d’identification ».
Malgré le risque d’exploitation d’iframe annoncé (s’ouvre dans un nouvel onglet) en novembre 2018, Bitwarden a décidé de conserver la fonction de remplissage automatique sur les pages de connexion avec des iframes, car de nombreux sites Web populaires les utilisent, « par exemple, icloud.com utilise une iframe d’apple.com », a déclaré Bitwarden à BleepingComputer. (s’ouvre dans un nouvel onglet).
Cependant, en ce qui concerne le remplissage automatique des formulaires sur les sous-domaines, Bitwarden a déclaré qu’il publiera une mise à jour à l’avenir pour empêcher le remplissage automatique sur les environnements d’hébergement qui le permettent.