Les gestionnaires de mots de passe sont à juste titre considérés par de nombreux professionnels de la sécurité comme un élément essentiel de votre boîte à outils d’atténuation de la prise de contrôle de compte. Ceux qui souhaiteraient voler votre argent ou vos données, qu’il s’agisse d’un cybercriminel moyen ou d’une équipe de pirates informatiques parrainée par l’État, se tournent vers la compromission des informations d’identification comme première escale. Avec la réutilisation des mots de passe, et compte tenu du nombre de mots de passe dont nous disposons, il n’est pas surprenant que les mots de passe uniques, aléatoires et complexes soient essentiels. C’est pourquoi, et je reviens à mon gambit d’ouverture, les gestionnaires de mots de passe sont considérés par tant de personnes, y compris moi-même et l’équipe Straight Talking Cyber de Forbes, comme essentielles. C’est pourquoi la confiance dans ces applications est si importante et pourquoi cette confiance peut être ébranlée lorsque les réponses aux préoccupations des chercheurs en sécurité semblent moins que rassurantes. Nous avons déjà vu récemment des exemples de cette érosion de la confiance dans le cas de LastPass, et maintenant l’une des autres grandes marques de gestionnaires de mots de passe est accusée de ne pas en faire assez pour empêcher le vol de mots de passe. Voici ce que les utilisateurs de Bitwarden doivent savoir à la lumière d’un nouveau rapport sur un vecteur d’attaque de vol d’informations d’identification spécifique.
Qu’est-ce qui met Bitwarden dans la ligne de mire du vol de mots de passe ?
Recherche récemment publiée des experts en renseignement sur les menaces, Flashpoint, a suggéré que Bitwarden échoue dans un domaine particulier : le remplissage automatique des informations d’identification dans les iframes intégrés. Ce que les chercheurs en vulnérabilité de Flashpoint ont découvert, c’est que l’extension de navigateur Bitwarden pouvait remplir automatiquement le champ des identifiants de connexion s’il s’avérait qu’ils étaient enregistrés dans le coffre-fort de mots de passe Bitwarden. Jusqu’ici, donc tout à fait normal.
Après tout, l’auto-complétion des champs de connexion avec votre mot de passe très long et très aléatoire est l’un des avantages d’utiliser un gestionnaire de mots de passe. La plupart des applications de gestion de mots de passe le feront sans avoir besoin d’interaction avec l’utilisateur. Ce facteur de commodité va de pair avec la sécurité lorsqu’il s’agit des raisons pour lesquelles la plupart des gens prennent la décision d’utiliser un gestionnaire de mots de passe en premier lieu.
Cependant, les chercheurs de Flashpoint ont découvert que, contrairement à certaines autres extensions de gestionnaire de mots de passe qu’ils ont examinées, et plus encore sous peu, Bitwarden remplirait un iframe intégré (si l’option de remplissage automatique au chargement de la page était activée) demandant des identifiants de connexion “même s’ils viennent de domaines différents.”
Point de rupture
Un iframe est simplement une méthode d’intégration d’une page (ou d’un document si vous préférez) dans une autre page HTML, un cadre en ligne. Un bon exemple de cela serait le site Web iCloud qui utilise un iframe de connexion d’apple.com lors de la connexion.
Flashpoint admet que “le nombre de cas trouvés correspondant à cette configuration particulière était assez faible, ce qui réduit le risque potentiel”. De plus, Bitwarden a non seulement cette option de remplissage automatique désactivée par défaut, mais a également un avertissement dans la documentation indiquant que son activation signifie qu’un site compromis pourrait en profiter pour voler des informations d’identification. Alors, quel est le problème ici, exactement ?
Approfondir la recherche sur le vol de mot de passe Flashpoint
Premièrement, disent les chercheurs, il y a le problème de quelqu’un “hébergant du contenu arbitraire sous un sous-domaine de son domaine officiel”. En raison de la manière dont l’extension de navigateur Bitwarden détermine la manière dont le remplissage automatique est effectué, par défaut (si activé) sur un domaine de base, un domaine de second niveau pourrait potentiellement voler les informations d’identification. Deuxièmement, le rapport affirme que cette faille de sécurité, ou fonctionnalité, “semble être unique au produit de Bitwarden”. Ceci est basé sur une “brève évaluation d’autres extensions de gestionnaire de mots de passe”.
J’ai contacté Sven Krewitt, chercheur senior en vulnérabilité chez Flashpoint, pour obtenir des éclaircissements. “Nous n’avons pas procédé à une comparaison approfondie des gestionnaires de mots de passe disponibles”, déclare Krewitt, “mais après la découverte de Bitwarden, nous avons voulu vérifier rapidement si d’autres extensions populaires se comportaient de la même manière”. Krewitt dit que Flashpoint a pu “confirmer 1Password et que le gestionnaire de mots de passe de Chrome ne remplit pas automatiquement les iframes externes” et “Dashlane affiche un avertissement si vous essayez de le faire”.
Un porte-parole de Bitwarden m’a dit que “Bitwarden prend cela en charge en tant que fonctionnalité facultative car certains sites Web populaires utilisent cette approche, tels que icloud.com et apple.com. D’autres gestionnaires de mots de passe peuvent choisir un chemin différent.”
Quelle est l’ampleur du risque réel pour votre utilisateur Bitwarden moyen ?
Krewitt m’a dit que l’attaque démontrée à Bitwarden concernait un certain environnement et, par défaut, “cette attaque ne fonctionne pas pour tous les sites Web”. Cependant, Flashpoint a pu confirmer que plusieurs très grands fournisseurs d’hébergement ont actuellement le même environnement et que les mêmes exigences sont remplies. “C’est l’aspect le plus préoccupant”, déclare Krewitt, “si le paramètre de remplissage automatique au chargement de la page est activé, l’attaque fonctionne lorsqu’un utilisateur visite une page Web spécialement conçue”.
Cependant, s’il n’est pas activé et qu’il est désactivé par défaut, rappelez-vous qu'”un peu d’ingénierie sociale est nécessaire, par exemple, en utilisant un raccourci CTRL-Maj sur cette page”, m’a dit Krewitt, concluant “en raison de ces exigences, nous ne considérons pas cela comme un problème critique, mais il est très important que les utilisateurs le sachent, car cela pourrait entraîner des problèmes à grande échelle.”
“Comme vous l’indiquez, cette fonctionnalité n’est pas activée par défaut, et le vecteur est limité, et Bitwarden a placé des avertissements pour les utilisateurs”, a déclaré le porte-parole de Bitwarden. “Alors que les sites Web populaires continuent d’utiliser des iframes tels que icloud.com et apple.com”, ont-ils conclu, “Bitwarden a permis le choix de l’utilisateur. Nous continuerons à examiner les options et l’expérience utilisateur pour ces situations.”
Faut-il passer de Bitwarden à un autre gestionnaire de mots de passe ?
D’après les commentaires que j’ai vus sur les réseaux sociaux, de nombreuses personnes sont déjà passées à Bitwarden à la suite des récentes divulgations de violation de LastPass. La recommandation leur est-elle de basculer à nouveau vers un autre gestionnaire de mots de passe, à la lumière de la recherche Flashpoint ?
Je suis enclin à dire non, tant qu’ils sont conscients du risque minimal actuel, s’ils activent la fonction de remplissage automatique.
“Si vous utilisez Bitwarden, l’option “remplissage automatique au chargement de la page” doit être désactivée et la “détection de correspondance d’URI par défaut” doit être définie sur Host ou Exact”, explique Krewitt, car “cela atténue les attaques”. Tout en donnant un oui très retentissant à ma question de savoir si les utilisateurs doivent toujours utiliser un gestionnaire de mots de passe, Krewitt a confié que, personnellement, “je suis revenu à mon ancien gestionnaire de mots de passe”.
Suivez-moi sur Twitter ou LinkedIn. Vérifier mon site Internet ou certains de mes autres travaux ici.
