🔓 Gestionnaires de mots de passe : vos coffres-forts fuient comme des passoires

🧨 Contexte : six géants pris la main dans le sac

C’est officiel : six des gestionnaires de mots de passe les plus utilisés au monde viennent d’être épinglés pour une vulnérabilité aussi vieille que sournoise : le clickjacking.
Le chercheur Marek Tóth, lors de la conférence DEF CON 33, a mis à jour un problème qui traînait dans les extensions depuis belle lurette : un site piégé peut superposer des éléments invisibles et vous faire cliquer… exactement là où il ne faut pas. Résultat : vos identifiants, vos codes 2FA et même vos cartes bancaires s’envolent comme des confettis 🎉.

Socket Security a confirmé les failles et tenté d’alerter les éditeurs. Mais comme souvent, les réponses oscillent entre le « ce n’est pas vraiment un problème » et le « circulez, y’a rien à voir ».

🕳️ Comment marche le piège ?

Imaginez un site web malveillant (ou pire, un site légitime compromis).
Il place une interface invisible au-dessus de son contenu. Vous pensez cliquer sur un bouton « Accepter les cookies » 🍪, et hop : en réalité vous autorisez votre gestionnaire à auto-remplir votre login et mot de passe.

• ✅ L’attaquant récupère vos identifiants
• ✅ Vos TOTP (codes 2FA)
• ✅ Vos passkeys flambant neuves
• ✅ Vos infos bancaires 💳

Bref, le coffre-fort qui devait vous protéger s’ouvre comme une boîte de conserve à qui sait forcer la languette.

📉 Les coupables : palmarès des passoires numériques

Les gestionnaires vulnérables testés au 19 août 2025 :

• 🔑 Bitwarden (version 2025.7.0)
• 🧩 1Password (8.11.4.27)
• 🕶️ LastPass (4.146.3)
• 📦 Enpass (6.11.6)
• 🌀 LogMeOnce (7.12.4)
• 🍏 iCloud Passwords (3.1.25)

Tous dans leur dernière version, tous vulnérables, et aucun correctif publié à ce jour. Et dire que ce sont ceux censés nous vendre la « sécurité ultime »…

🤡 La réaction des éditeurs : « Pas grave, dormez tranquilles »

• Bitwarden, Enpass, iCloud Passwords, LogMeOnce : silence radio ou promesses vagues.
• 1Password & LastPass : réponse lunaire 🌙 → « merci de l’info, mais c’est juste à titre informatif, rien d’urgent ».

Rappelons quand même que LastPass a déjà fait la une en 2022 pour une fuite massive de coffres chiffrés… On pourrait croire qu’ils auraient appris à prendre la sécurité au sérieux. Mais non : visiblement, on préfère le marketing « zéro-tracas » à la correction de failles critiques.

🛡️ Que faire en attendant ?

En l’absence de patch (merci les éditeurs 😒), voici les recommandations :

• ⚠️ Désactiver l’auto-remplissage automatique. Activez l’option « remplir uniquement sur clic » : ça ajoute un clic, mais ça évite de transformer votre gestionnaire en robinet percé.
• 🌐 Éviter les sites douteux : si vous tombez sur un sous-domaine obscur ou un site qui pue l’XSS, fuyez.
• 📢 Mettre la pression sur les éditeurs : rappelez-leur que la sécurité, ce n’est pas un nice-to-have, c’est leur raison d’être.

📣 Ce qu’en dit la communauté

Sur Reddit, certains utilisateurs relativisent :

« Ce n’est pas une vulnérabilité de 1Password, mais des sites web. »

D’autres, plus lucides, rétorquent :

« Nope. C’est une vulnérabilité des deux. »

Et oui, quand votre outil censé protéger vos secrets se laisse avoir par une iframe invisible, il y a quand même matière à rougir.

🧾 Verdict SecuSlice

👉 Un gestionnaire de mots de passe doit être infaillible sur les bases : empêcher qu’un clic bidon fasse fuiter vos identifiants. Si les éditeurs n’arrivent pas à patcher rapidement une attaque connue et documentée depuis plus de dix ans, il y a de quoi s’interroger sérieusement.

👉 Pour l’instant, la meilleure défense, c’est l’utilisateur qui coupe l’autofill. Autrement dit : vous payez un abonnement premium, et la vraie sécurité, c’est vous qui devez la bricoler manuellement. On a vu plus rassurant.

🚀 Conclusion

Les gestionnaires de mots de passe devraient être vos coffres-forts numériques blindés. En réalité, certains ressemblent plutôt à des casques de scooter en carton : ça fait illusion, mais au premier choc, tout s’effondre.

Tant que les éditeurs continueront à traiter les vulnérabilités comme des notes de service sans importance, les attaquants se régaleront. Et vous, utilisateurs, devrez rester vigilants.
Car en cybersécurité, une règle ne change jamais :
si vous dormez, vos identifiants, eux, voyagent. 🛌➡️💸

Partager cet article : Twitter LinkedIn WhatsApp

🖋️ Publié sur SecuSlice.com