Les gestionnaires de mots de passe proposent depuis longtemps le remplissage automatique, c’est-à-dire la possibilité pour le service ou l’application de remplir automatiquement les formulaires de connexion avec votre identifiant et votre mot de passe sur les sites Web enregistrés. Mais la fonctionnalité comporte des risques, et pour le service populaire Bitwarden, le danger est suffisamment élevé pour que vous deviez éviter le remplissage automatique tous ensemble.
En règle générale, les experts en sécurité conseillent de désactiver la version la plus proactive du remplissage automatique, où vos informations d’identification sont automatiquement renseignées sur les sites enregistrés. Si un site Web est compromis, un acteur malveillant peut capturer vos informations de connexion avant que vous ne confirmiez visuellement que la page semble normale.
Mais comme l’entreprise de sécurité Flashpoint.io l’a détaillé dans un article de blog la semaine dernière, le remplissage automatique de Bitwarden présente une vulnérabilité plus profonde que les autres services. Sur les sites Web qui utilisent des iframes (où une page charge des éléments HTML à partir d’une page Web différente), les formulaires de connexion hébergés sur un site Web externe sont toujours remplis avec l’ID utilisateur et le mot de passe du site enregistré. Si l’un de ces éléments HTML externes est compromis (comme la publicité, un vecteur connu d’exploits), le résultat pourrait être des données de connexion volées.
Cette permissivité n’est pas accidentelle, mais conceptuelle : dans la documentation de l’entreprise sur le problème, publiée fin 2018, Bitwarden déclare que son objectif est d’encourager une meilleure adaptation à un gestionnaire de mots de passe. La société donne l’exemple d’iCloud en tant que site Web majeur qui utilise toujours des iframes pour se connecter à apple.com pour se connecter.
Cette vulnérabilité existe que Bitwarden remplisse de manière préventive les formulaires de connexion ou que vous déclenchiez manuellement le remplissage automatique ; Les tests de Flashpoint ont montré que l’utilisation du remplissage automatique comporte le même risque. Bitwarden n’avertit pas non plus les utilisateurs lorsqu’ils remplissent un formulaire hébergé sur une page ou un site différent, et donne également un laissez-passer gratuit aux sous-domaines d’un site Web. Pendant ce temps, d’autres gestionnaires de mots de passe semblent être des options plus sûres, car ils restent plus stricts avec leurs politiques de remplissage automatique. Lors de la vérification ponctuelle des rivaux par Flashpoint, ils ne remplissaient automatiquement que le site enregistré dans l’entrée du coffre-fort, ou au moins affichaient un avertissement si un iframe tirait un formulaire externe.
En tant qu’utilisateur du gestionnaire de mots de passe, vous pouvez prendre deux mesures majeures pour vous protéger de ce type de vulnérabilité. (Et non, la réponse n’est pas de ne jamais utiliser de gestionnaire de mots de passe.)
- Laissez la saisie automatique préventive désactivée. Les bons services et applications ont cette option désactivée par défaut – laissez-la ainsi pour une meilleure sécurité.
- Utilisez un service ou une application qui ne remplira pas automatiquement les formulaires hébergés sur des sites externes, ou à tout le moins, vous avertira que vous êtes sur le point de le faire.
Si vous décidez de vous en tenir à Bitwarden, qui est un service par ailleurs fiable et notre gestionnaire de mots de passe gratuit préféré, vous devez également abandonner le remplissage automatique préventif. Mais vous devriez également prendre cette précaution :
- N’utilisez la saisie automatique déclenchée manuellement que sur des sites auxquels vous pouvez raisonnablement faire confiance. Par exemple, Apple devrait disposer des ressources nécessaires pour se prémunir contre les éléments HTML compromis. (S’ils ne parviennent pas à protéger les utilisateurs contre ce type d’exploit, tout le monde aura de bien plus gros problèmes.)
Dominik Tomaszewski / Fonderie
Malheureusement, les utilisateurs de Bitwarden ne semblent pas en mesure de contourner ce problème de remplissage automatique lorsqu’ils copient et collent les informations de connexion du gestionnaire de mots de passe dans un formulaire. Si un formulaire hébergé en externe est compromis, il est compromis. Ainsi, quelle que soit la manière dont vous saisissez vos informations de connexion, vous ne saurez pas s’il s’agit d’un formulaire hébergé en interne ou en externe, et c’est là le problème.
En ce qui concerne les sites Web officiels compromis, rien ne peut encore protéger contre cette situation. C’est pourquoi les mots de passe aléatoires pour chaque site, service et application sont si importants – ils limitent les dégâts à cet endroit. Et qu’on le veuille ou non, le meilleur moyen de garder une trace de dizaines (voire de centaines) d’informations d’identification est un gestionnaire de mots de passe. Choisissez (et utilisez-en) un judicieusement, et vous devriez éviter la plupart des ennuis.