Connaissez-nous

Services

Pages Web

Des sites web fonctionnels et attrayants, conçus pour convertir.

Ecommerce

Boutiques en ligne conçues pour transformer les visites en ventes.

Maintenance Internet

Votre site est toujours à jour, sécurisé et fonctionne correctement.

Suppression de virus

Sites web exempts de menaces et de vulnérabilités.

Hébergement et domaines

Une infrastructure fiable pour un site rapide et stable.

Conception graphique et image de marque

Une identité visuelle claire qui unit et différencie votre marque.

Application mobile

Des idées connectées aux utilisateurs sur tous leurs appareils.

SEO et analytique

Plus de visibilité, de trafic et des résultats concrets.

Animation et graphisme

Des animations et des graphismes qui communiquent et ont un impact. 

Assistance, sécurité et maintenance

Portefeuille

Contact

Connaissez-nous

Services

Portefeuille

Contact

Pages Web

Ecommerce

Maintenance Internet

Suppression de virus

Hébergement et domaines

Conception et image de marque

Application mobile

SEO et analytique

Graphiques animés

Un clic et adieu les mots de passe.

  • Une technique de détournement de clic expose des millions d'utilisateurs de gestionnaires de mots de passe

  • Cela affecte les extensions de navigateur telles que celles de 1Password, Bitwarden ou LastPass.

  • Certaines entreprises n'ont toujours pas appliqué les correctifs malgré avoir été notifiées en avril.

Nous faisons confiance à nos gestionnaires de mots de passe comme s'il s'agissait de coffres-forts numériques. Or, selon l'expert Marek Tóth, il suffit de visiter un site web malveillant et de cliquer là où il ne faut pas pour compromettre cette sécurité. La technique qu'il a présentée dans DÉF CON 33 Il ne s'agit pas des applications, mais du extensions que nous utilisons quotidiennement dans le navigateur. D'après ses tests, ce geste peut activer un système de vol d'informations à l'insu de l'utilisateur.

Cette étude, rendue publique lors d'une importante conférence internationale sur la cybersécurité, démontre comment onze extensions de gestionnaires de mots de passe peuvent être manipulées pour permettre des fuites de données. Tóth indique avoir informé les fabricants de cette découverte en avril 2025 et que plusieurs extensions n'avaient toujours pas été corrigées à la mi-août. L'étude comprend des tests pratiques, des sites web conçus pour illustrer la vulnérabilité et une estimation de son ampleur : environ 40 millions d'installations actives potentiellement exposées.

Comment fonctionne l'attaque et pourquoi elle vous affecte

La technique décrite par Tóth consiste à masquer les éléments insérés par les extensions dans la page, permettant ainsi à l'utilisateur d'interagir avec eux sans les voir. En modifiant légèrement l'opacité ou le chevauchement, l'attaquant parvient à… Le remplissage automatique est activé en arrière-plan.Et il existe plusieurs façons d'y parvenir, allant de la manipulation de l'élément racine de l'extension à la modification de l'ensemble du site, en plus des variations de superposition.

Le scénario le plus délicat se présente lorsqu'il n'est pas nécessaire de créer un faux site web ; il suffit d'exploiter une faille de sécurité sur une page légitime. Dans ce cas, explique-t-il, l'attaquant peut s'emparer des identifiants de connexion. Le risque s'accroît car de nombreux administrateurs renseignent les données non seulement sur le domaine principal, mais aussi sur les sous-domaines, élargissant ainsi la surface d'attaque à l'insu de l'utilisateur.

D'après les données publiées par Tóth et recueillies par SocketAu 19 août, 1Password, Bitwarden et Enpass étaient toujours considérés comme vulnérables. Mots de passe iCloudLastPass et LogMeOnce. Le 20 août, Socket a annoncé que Bitwarden avait déployé la version 2025.8.0 intégrant un correctif, en attente de distribution sur les plateformes de téléchargement d'extensions. Parmi les portefeuilles ayant déjà implémenté des correctifs figurent NordPass, Dashlane, Keeper, ProtonPass et RoboForm. Cette liste est toutefois susceptible d'évoluer si d'autres entreprises publient des correctifs après cette annonce.

Images de Xakata avec Gemini 2.5

La réaction des fabricants a été mitigée. Socket indique que 1Password et LastPass ont classé la vulnérabilité comme « informationnelle », une catégorie qui n’implique généralement aucune modification immédiate. Bitwarden, Enpass et Apple (mots de passe iCloud) ont confirmé que… Ils travaillent sur les mises à jour.LogMeOnce n'a pas répondu aux tentatives de contact. Certaines entreprises ont reconnu le risque, mais l'ont attribué à des vulnérabilités externes sur les sites web visités.

Alors que certains développeurs hésitent encore sur la marche à suivre, Tóth et l'équipe Socket s'accordent sur l'existence de mesures pratiques pour limiter les risques. L'une des plus efficaces consiste à désactiver la saisie automatique manuelle et à privilégier le copier-coller. Il est également recommandé de configurer la saisie automatique uniquement pour les URL exactes, afin d'empêcher son fonctionnement sur les sous-domaines. Dans les navigateurs basés sur Chromium, l'utilisation de l'extension peut être restreinte grâce à l'option d'accès « au clic », exigeant une autorisation explicite de l'utilisateur pour chaque instance.

Ce n'est pas aussi simple que de cliquer et de tout perdre. Pour que l'attaque réussisse, l'extension doit être déverrouillée, le navigateur ne doit pas avoir redémarré et l'utilisateur doit interagir au moment précis. De plus, l'analyse s'est concentrée sur seulement onze extensions. Rien ne prouve que toutes les solutions Certains segments de marché pourraient être vulnérables, même si l'expert prévient que ce schéma pourrait se répéter dans d'autres types d'extensions.

Le point faible réside dans le DOMLa structure interne utilisée par les sites web pour organiser les boutons, les formulaires et les menus s'appelle l'URL. Les gestionnaires de mots de passe y insèrent leurs éléments ; si un site web malveillant parvient à les déplacer, les masquer ou les forcer, l'utilisateur risque de cliquer dessus par inadvertance. Ce même risque existe pour d'autres extensions, comme les portefeuilles de cryptomonnaies ou les applications de prise de notes.

Javier Márquez, rédacteur technique | 21 août 2025

Nous faisons confiance à nos gestionnaires de mots de passe comme s'il s'agissait de coffres-forts numériques. Or, selon l'expert Marek Tóth, il suffit de visiter un site web malveillant et de cliquer là où il ne faut pas pour compromettre cette sécurité.
Publié le août 22, 2025

CATÉGORIES

Vous pouvez aussi être intéressé

6 mai 2026

Elon Musk contre Sam Altman : le procès qui menace OpenAI

Elon Musk a porté plainte contre OpenAI et Sam Altman pour avoir prétendument trahi la mission initiale de l'entreprise. Cette affaire révèle une rivalité qui dépasse largement le cadre des affaires.
14 Avril 2026

Tendances e-commerce 2026 : anticipez l’avenir

En 2026, le e-commerce ne sera pas une simple évolution, mais une véritable transformation. Découvrez les tendances clés pour assurer la compétitivité de votre entreprise dans le monde numérique de demain.
2 Avril 2026

IA et SEO en 2026 : géolocalisation, citations et visibilité grâce à l’IA

Découvrez comment l'intelligence artificielle transforme le référencement naturel, ce qu'est l'optimisation pour les moteurs génératifs (GEO) et comment les citations dans les moteurs génératifs influencent la visibilité de votre marque.