Si vous utilisez ce gestionnaire de mots de passe gratuit, vos mots de passe pourraient être à risque
Des chercheurs viennent de découvrir une faille dans Bitwarden, un gestionnaire de mots de passe populaire. S'il est exploité, le bogue pourrait permettre aux pirates d'accéder aux identifiants de connexion, compromettant ainsi divers comptes.
La faille au sein de Bitwarden a été repérée par Flashpoint , une société d'analyse de sécurité. Bien que le problème n'ait pas reçu beaucoup – ou pas du tout – de couverture dans le passé, il semble que Bitwarden en était conscient depuis le début. Voici comment cela fonctionne.
Le risque de sécurité potentiel réside dans la fonctionnalité de remplissage automatique de Bitwarden. Il permet aux cadres en ligne (iframes) d'accéder à vos informations de connexion, et si lesdits iframes sont compromis, vos informations d'identification le sont également. Un iframe est un élément HTML qui permet aux développeurs d'intégrer une page Web différente dans la page sur laquelle vous vous trouvez actuellement. Ils sont souvent utilisés dans le but d'intégrer des publicités, des vidéos ou des analyses Web.
Selon Flashpoint, l'utilisation de Bitwarden avec le remplissage automatique activé sur une page contenant des iframes pourrait entraîner un vol de mot de passe. En effet, le remplissage automatique remplit automatiquement votre identifiant et votre mot de passe à la fois sur la page sur laquelle vous vous trouvez et dans l'iframe, ce qui vous expose à certains risques.
Dans son rapport, Flashpoint a déclaré: "Bien que l'iframe intégré n'ait accès à aucun contenu de la page parent, il peut attendre une entrée dans le formulaire de connexion et transmettre les informations d'identification saisies à un serveur distant sans autre interaction de l'utilisateur."
Il existe cependant un autre moyen pour les pirates de voler vos mots de passe. Le remplissage automatique de Bitwarden fonctionne également sur les sous-domaines du domaine auquel vous essayez d'accéder, tant que la connexion correspond. Cela signifie que si vous tombez sur une page de phishing, avec un sous-domaine qui correspond au domaine de base pour lequel vous avez enregistré votre mot de passe, Bitwarden peut le fournir automatiquement au pirate.
"Certains fournisseurs d'hébergement de contenu autorisent l'hébergement de contenu arbitraire sous un sous-domaine de leur domaine officiel, qui sert également leur page de connexion. Par exemple, si une entreprise a une page de connexion sur https://logins.company.tld et permet aux utilisateurs de diffuser du contenu sous https://<clientname>.company.tld , ces utilisateurs peuvent voler les informations d'identification de Bitwarden extensions », a expliqué Flashpoint.
Ce problème n'apparaîtra pas sur les grands sites Web légitimes, mais les services d'hébergement gratuits permettent de créer de tels domaines. Pourtant, les deux défauts ont une chance assez faible de se produire, c'est pourquoi Bitwarden n'a pas résolu le problème bien qu'il en soit conscient. Afin de continuer à travailler sur des sites Web qui utilisent des iframes, Bitwarden doit laisser cette fenêtre d'opportunité ouverte pour un éventuel hameçonnage et vol de mot de passe.
Il convient de noter que le remplissage automatique est désactivé dans Bitwarden par défaut, et l'outil avertit les utilisateurs des risques possibles lorsqu'ils activent la fonctionnalité. En réponse au rapport, Bitwarden a déclaré qu'il prévoyait une mise à jour qui bloquerait le remplissage automatique sur les sous-domaines.
Si vous n'utilisez pas encore un outil comme Bitwarden, assurez-vous de consulter notre guide des meilleurs gestionnaires de mots de passe . Bitwarden est sur cette liste, et malgré cette faille de sécurité, il mérite toujours sa place – mais peut-être que désactiver le remplissage automatique pourrait être une bonne idée pour le moment.