Présentée à la DEF CON 33, une nouvelle attaque par clickjacking s’en prend directement aux extensions de gestionnaires de mots de passe. À la clé, un accès silencieux à vos identifiants, données personnelles, cartes bancaires ou codes 2FA.
Et Keepass dans tout ça ?
Pas d’autocomplétions présente dans Keepass (juste du copier-coller d’identifiants), donc pas concerné
1 « J'aime »
Je ne comprends pas comment ça peut marcher, tous ces gestionnaires remplissent les mots de passe en fonction de l’URL.
2 « J'aime »
C’est expliqué dans l’article :
Ici, deux scénarios possibles. Sur un site frauduleux, contrôlé par l’attaquant, le piège permet d’exfiltrer des données non liées à un domaine précis, comme les informations personnelles ou bancaires : un seul clic suffit pour obtenir un numéro de carte, son expiration et son code CVC, ou encore une adresse complète. En revanche, pour les identifiants, mots de passe, codes TOTP et passkeys (dans certains cas spécifiques côté serveur), l’attaquant doit réussir à injecter son script malveillant sur un domaine de confiance – par exemple via une faille XSS sur un sous-domaine vulnérable. Le gestionnaire considère alors qu’il s’agit d’un site légitime et y déverse les informations enregistrées.
1 « J'aime »