Vous cliquez sur ce qui semble être un bouton parfaitement normal sur un site web tout à fait normal… Sauf qu’en réalité, vous venez de donner accès à tous ce qui est stocké dans votre gestionnaire de mots de passe. C’est exactement ce que permet une nouvelle technique de clickjacking découverte par le chercheur Marek Tóth et qui affecte potentiellement 40 millions d’utilisateurs dans le monde.

Si vous utilisez 1Password, Bitwarden, LastPass, Enpass, iCloud Passwords ou LogMeOnce, mauvaise nouvelle : ils sont tous vulnérables. En fait, sur les 11 gestionnaires de mots de passe testés, tous présentaient cette faille. Certains ont déjà patché (Dashlane, Keeper, NordPass, ProtonPass et RoboForm), mais pour les autres, c’est toujours open bar pour les hackers.

Selon l’analyse de Marek Tóth, les attaquants exploitent la façon dont les extensions de navigateur injectent leurs éléments dans les pages web. Ils créent une couche invisible par-dessus les boutons du gestionnaire de mots de passe et quand vous pensez cliquer sur un élément tout à fait innocent de la page, vous activez en réalité l’auto-remplissage (autofill) de votre gestionnaire.

Un seul clic suffit. Les pirates peuvent alors récupérer vos identifiants de connexion, vos codes de double authentification, vos numéros de carte bancaire avec le code de sécurité, et même dans certains cas, détourner vos passkeys. Le tout sans que vous ne vous rendiez compte de quoi que ce soit.

Voici une démo avec le piège :

Vous n’avez rien vu ?

Alors regardez cette vidéo maintenant :

D’après BleepingComputer, les réactions des entreprises concernées sont… décevantes. 1Password a classé le rapport comme “hors périmètre”. LastPass l’a marqué comme “informatif”, ce qui en langage corporate signifie “on s’en fout”. LogMeOnce n’a même pas répondu aux chercheurs. Seul Bitwarden affirme avoir corrigé le problème dans la version 2025.8.0, mais les tests montrent que ce n’est pas totalement le cas.

Ce qui est vraiment dommage, c’est que cette vulnérabilité était évitable. Les gestionnaires remplissent automatiquement les identifiants non seulement sur le domaine principal, mais aussi sur tous les sous-domaines donc si un pirate trouve une faille XSS sur n’importe quel sous-domaine d’un site, il peut voler tous vos identifiants stockés pour ce site.

Socket, une entreprise de cybersécurité, a vérifié les résultats et confirme l’ampleur du problème. Les chercheurs ont découvert que 6 gestionnaires sur 9 pouvaient divulguer les détails de carte bancaire, 8 sur 10 les informations personnelles, et 10 sur 11 les identifiants de connexion.

Alors comment se protéger ? Première chose, désactivez l’autofill. Oui, c’est chiant, mais c’est le seul moyen efficace pour le moment. Utilisez le copier-coller pour vos mots de passe. Et sur les navigateurs basés sur Chromium (Chrome, Edge, Brave), configurez l’accès aux sites de vos extensions sur “Au clic” plutôt qu’automatique. Ça vous donne le contrôle sur quand l’extension peut interagir avec la page.

Pour les plus paranos (et on ne peut pas vous en vouloir), activez les demandes de confirmation avant chaque remplissage automatique si votre gestionnaire le permet. C’est une friction supplémentaire, mais au moins vous verrez quand quelque chose tente d’accéder à vos données.

Le plus con dans cette histoire c’est que les gestionnaires de mots de passe sont censés nous protéger, mais cette vulnérabilité transforme notre bouclier en talon d’Achille. Les développeurs veulent rendre leurs outils faciles à utiliser, ce qui est louable mais chaque raccourci pris est une porte potentielle pour les attaquants. Et quand les entreprises ignorent les rapports de sécurité parce qu’elles les jugent “hors périmètre”, ce sont les utilisateurs qui risquent gros…

Bref, attendant que tous les gestionnaires corrigent cette faille, restez vigilants. Un clic de trop et c’est toute votre vie qui peut basculer.

Cette année, la journée mondiale du mot de passe est tombée le 1er mai. Pas de bol, je n’avais pas préparé d’article pour ce jour, donc il parait aujourd’hui. Mieux vaut tard que jamais, diront certains. J’ai décidé de partager mon expérience, donc n’hésitez pas à en faire de même en commentaire.

Bonnes pratiques pour ses mots de passe

Comme c’est la journée mondiale du mot de passe, il est important de rappeler quelques règles essentielles pour protéger vos comptes en ligne :

• Créez des mots de passe forts de 12 caractères minimum, en mélangeant lettres majuscules et minuscules, chiffres et symboles. Plus c’est complexe, mieux c’est !
• Ne jamais réutiliser les mots de passe sur plusieurs sites. Je sais, c’est plus facile à dire qu’à faire, surtout si l’on doit tout retenir de tête.
• Utilisez un gestionnaire de mots de passe (gratuit ou payant, il en existe beaucoup) pour stocker et générer des mots de passe uniques.
• Ajoutez l’authentification multifactorielle (MFA) lorsque c’est possible. Cela ajoute une couche de sécurité supplémentaire, même si votre mot de passe est compromis.

Mon expérience : gestionnaires de mots de passe

Au fil des années, j’ai utilisé plusieurs outils pour gérer mes mots de passe. Parmi les derniers, je peux citer KeePass, LastPass (que je déconseille pour diverses raisons de sécurité) et surtout Bitwarden. Ce dernier reste mon favori : il est sécurisé, multiplateforme, très complet, gratuit dans sa version de base, rapide et peut même être auto-hébergé sur un NAS. Pour ma part, j’ai environ 400 mots de passe enregistrés (impossible de tous les retenir). Du coup, j’ai un identifiant et un mot de passe fort uniquement pour accéder à mon coffre-fort Bitwarden.

Personnellement, j’utilise Bitwarden sur mon NAS depuis plusieurs années grâce à Docker (Vaultwarden). Cela signifie que mon coffre-fort de mots de passe est hébergé uniquement chez moi, ce qui me rassure côté confidentialité et sécurité.

Pour le quotidien, j’utilise l’extension Bitwarden dans mon navigateur préféré (Firefox) ainsi que l’application officielle sur mon téléphone. Cela me permet d’accéder à mes mots de passe où que je sois, sans sacrifier la sécurité.

Quelques mots de passe « hors ligne »

Cependant, je ne mets pas tous mes mots de passe dans Bitwarden. Oui, je l’avoue, je suis un peu parano sur les bords. Certains mots de passe ultra-sensibles, comme ceux de ma banque en ligne, l’accès à mes PC à la maison et au travail, ou encore celui de mon NAS, ne sont stockés nulle part (sauf dans ma tête, tant qu’elle fonctionne). C’est une précaution supplémentaire, même si cela demande un effort de mémoire.

Et vous, quelles sont vos habitudes pour gérer vos mots de passe ? Utilisez-vous un gestionnaire ? Si oui, lequel ? N’hésite pas à laisser un commentaire