Chiens: Les pirates peuvent voler votre nom d’utilisateur et votre mot de passe pour un site Web à l’aide d’un iframe intégré. C’est une faiblesse pour tous les gestionnaires de mots de passe, et la plupart ont résolu le bogue de différentes manières, notamment en émettant des avertissements lorsque les utilisateurs se trouvent sur une page de connexion avec un iframe ou ne font pas confiance aux sous-domaines. Bitwarden est la seule exception, car il a déterminé en 2018 que la menace n’était pas suffisamment grave pour être traitée.
Sur leur page d’assistance concernant “Autofill”, Bitwarden il conseille les utilisateurs désactivent la fonction de remplissage automatique du mot de passe de leur navigateur car ils perturbent sa solution de gestion des mots de passe. Il mentionne également que c’est une bonne idée car “les experts conviennent généralement que les gestionnaires de mots de passe intégrés (navigateur) sont plus vulnérables que les solutions dédiées comme Bitwarden”, ce qui est généralement vrai.
Malheureusement, son rembourrage par mot de passe n’est peut-être pas beaucoup mieux que votre navigateur. Chercheurs en sécurité chez Flashpoint découvert que l’extension de remplissage automatique Bitwarden gère les pages Web avec des iframes intégrés de manière non sécurisée. Une connaissance de base des iframes est nécessaire pour comprendre cette vulnérabilité.
Les développeurs de sites Web utilisent un élément de cadre en ligne, ou iframe, pour intégrer une partie d’une autre page Web sur leur site. Par exemple, TechSpot utilise des iframes pour intégrer des vidéos YouTube dans ses articles. Il peut également être utilisé pour intégrer des formulaires Web. En général, les iframes peuvent être utilisées en toute sécurité tant que le matériel intégré d’un site externe n’a pas été compromis, et c’est là que les gestionnaires ont un problème.
Les extensions de mot de passe remplissent automatiquement les informations de connexion sur toute page Web que les utilisateurs ont enregistrée par conception. Ils peuvent même remplir de manière préventive le formulaire de connexion sans intervention de l’utilisateur. Dans le travail de Bitwarden, un paramètre appelé “Remplissage automatique au chargement de la page”. Cependant, l’extension exécute cette fonction dans une iframe sans effectuer la vérification “Same Origin Policy”. Ainsi, si la page contient une iframe malveillante d’un autre domaine, le gestionnaire leur remettra sans le savoir vos informations d’identification à envoyer au serveur du pirate.
Preuve de concept montrant que Bitwarden remplit automatiquement les champs iframe légitimes et “malveillants” en même temps.
La plupart des gestionnaires de mots de passe ont mis en place des contrôles qui avertissent au moins les utilisateurs des dangers potentiels. Cependant, Bitwarden n’empêche ni n’avertit qu’un iframe d’un autre domaine vole potentiellement des informations d’identification. Il suppose que tous les iframes de la page de connexion sont sécurisés. Ceci est indiqué dans le rapport de sécurité 2018, mais plus à ce sujet plus tard.
Bien sûr, cela ne peut se produire que si le site Web de confiance est déjà compromis, n’est-ce pas ? Selon Flashpoint, ce n’est pas nécessairement vrai.
De toute évidence, si les pirates ont suffisamment pris pied pour insérer une iframe dans une page Web légitime, les utilisateurs ont de plus gros problèmes que cette faiblesse entre leurs mains. Aucune extension de gestion des mots de passe ne pourrait faire grand-chose dans ce scénario. Cependant, certains sites Web légitimes utilisent des formulaires d’un autre domaine et les intègrent dans un iframe. Si les pirates peuvent compromettre une source secondaire, ils disposent d’un proxy pour voler des informations sur un site de confiance.
Flashpoint admet qu’il s’agit d’un scénario rare et l’a confirmé en vérifiant ponctuellement plusieurs sites utilisant des iframes sur leurs pages de connexion. Cependant, il y a un autre problème. La correspondance URI (Uniform Resource Identifier) par défaut de Bitwarden est définie sur “Base Domain”. Ainsi, l’extension fournira un remplissage automatique des mots de passe si les domaines de premier niveau et de second niveau correspondent.
Le problème est que plusieurs services d’hébergement permettent aux utilisateurs d’héberger “n’importe quel contenu” sous un sous-domaine, ce qui rend relativement facile l’usurpation d’une page de connexion.
“Par exemple, si une entreprise a une page de connexion sur https://logins.company.tld et permet aux utilisateurs de fournir du contenu sous https://(clientname).company.tld, ces utilisateurs peuvent voler les identifiants de connexion de Bitwarden Extension », a déclaré Flashpoint. » Dans nos recherches, nous avons confirmé que plusieurs grands sites offrent exactement cet environnement. Si un utilisateur avec l’extension de navigateur Bitwarden visite une page spécialement conçue hébergée sur ces services Web, un attaquant peut voler les informations d’identification stockées pour le domaine respectif.” .”
Étrangement, lorsque Flashpoint a contacté Bitwarden à propos de cette faiblesse pour coordonner la divulgation, la société a souligné qu’elle en était au courant depuis 2018.
“Étant donné que Bitwarden ne vérifie pas les URL de chaque iframe, il est possible qu’un site Web intègre un iframe malveillant, que Bitwarden remplit automatiquement avec les informations d’identification” de premier niveau “du site”, a déclaré la société en 2018. Rapport d’évaluation de la sécurité lit. “Malheureusement, il existe des cas légitimes où un site Web contiendra des formulaires de connexion iframe d’un domaine autre que celui de son site Web ‘parent’. Aucune action n’est prévue pour le moment.”
En d’autres termes, Bitwarden est conscient du problème, mais considère le risque suffisamment acceptable pour ne rien y faire, même si c’est aussi simple que de faire en sorte que l’extension émette un avertissement lorsqu’elle se trouve sur une page iframe. Flashpoint a trouvé cela inexplicable car tous les concurrents de Bitwarden ont une forme d’atténuation pour cet exploit.
Les chercheurs ont créé une preuve de concept en utilisant le bogue comme vecteur d’attaque et un “exploit fonctionnel” qu’ils ont implémenté en privé sur un “environnement hôte de premier plan”. Ils espèrent que les développeurs de Bitwarden changeront d’avis sur ce problème, car personne n’a créé de tels exploits en 2018, lorsque la société a initialement évalué la vulnérabilité. Jusqu’à ce que Bitwarden corrige cette vulnérabilité, vous pouvez faire certaines choses pour l’atténuer sans changer de gestionnaire de mots de passe.
Tout d’abord, désactivez le paramètre “Remplissage automatique au chargement de la page” pour l’extension. Vous devrez exécuter manuellement la fonction de remplissage automatique tout le temps. Cependant, cela vous donne une certaine marge de manœuvre pour contrôler la page de connexion sans transmettre immédiatement vos informations de connexion à l’iframe. C’est en fait un bon conseil pour toute extension de gestionnaire de mots de passe avec remplissage automatique préemptif.
Deuxièmement, utilisez cette pause pour vous assurer que vous êtes sur un domaine de confiance et que la page est ce qu’elle semble être. Regardez l’URL pour vous assurer que vous êtes sur le bon domaine ou sous-domaine et que rien ne semble suspect. Par exemple, quelque chose comme “login.wellsfargo.com” est probablement légitime, alors que “credx257.wellsfargo.com” ne l’est probablement pas.
Ces étapes ne vous protégeront toujours pas des sites qui utilisent des formulaires Web externes compromis, mais Flashpoint a noté que ces scénarios sont rares. Il n’y a aucune raison de renoncer à utiliser un gestionnaire de mots de passe, pas même Bitwarden. Les gestionnaires sont bien placés pour vous aider à garder vos informations d’identification en ordre. Il est toujours préférable d’avoir un tas de mots de passe forts et difficiles à retenir uniques à chaque site que de réutiliser des mots de passe faibles.
