Mis à jour le 17 mars 2023 : Bitwarden dit qu’il publiera des changements au comportement de remplissage automatique la semaine prochaine. Ceci est décrit à la fin de cet article avec des recommandations révisées sur les mesures que vous pouvez prendre pour protéger vos mots de passe en ligne et les conseils sont valables.
Les gestionnaires de mots de passe proposent depuis longtemps une fonctionnalité de remplissage automatique. Il s’agit de la capacité d’un service ou d’une application à remplir automatiquement les identifiants d’utilisateur et les mots de passe dans les formulaires de connexion de site Web enregistrés. Cependant, cette fonctionnalité comporte des risques. Pour Bitwarden, un service populaire, le risque est suffisamment élevé pour que le remplissage automatique soit complètement évité.
En général, les experts en sécurité recommandent de désactiver la version la plus agressive du remplissage automatique, qui remplit automatiquement vos sites enregistrés avec vos informations d’identification. Si un site Web est compromis, un acteur malveillant peut obtenir des informations de connexion avant que vous ne puissiez confirmer visuellement que la page est correcte.
Mais comme l’entreprise de sécurité Flashpoint.io l’a détaillé dans un article de blog la semaine dernière, le remplissage automatique de Bitwarden présente des vulnérabilités plus graves que d’autres services. Pour les sites Web qui utilisent des iframes où la page charge des éléments HTML à partir d’une autre page Web, un formulaire de connexion hébergé sur un site Web externe est rempli avec les informations d’ID utilisateur et de mot de passe du site enregistrées. Si l’un de ces éléments HTML externes est compromis (comme la publicité, qui est un vecteur d’abus connu), le résultat peut être le vol des données de connexion.
Cette générosité est intentionnelle et non accidentelle. Dans un document d’entreprise sur le sujet publié fin 2018, Bitwarden a déclaré que son objectif était d’encourager une meilleure adoption des gestionnaires de mots de passe. La société cite iCloud comme un site Web majeur qui utilise un iframe pour se connecter à apple.com pour se connecter.
Cette vulnérabilité existe que Bitwarden préremplisse le formulaire de connexion ou déclenche manuellement le remplissage automatique. Les tests de Flashpoint ont montré que l’utilisation de l’un ou l’autre auto-remplissage comporte les mêmes risques. Bitwarden n’avertit pas non plus les utilisateurs lorsqu’ils remplissent un formulaire hébergé sur une autre page ou un autre site, et propose même des laissez-passer gratuits pour les sous-domaines du site Web. Le gestionnaire semble être une option plus sûre car il a une politique de remplissage automatique plus stricte. La vérification ponctuelle d’un concurrent par Flashpoint ne remplit automatiquement que les sites stockés dans les entrées du coffre-fort, ou au moins averti si des formulaires externes étaient remplis d’iframes.
Les utilisateurs du gestionnaire de mots de passe peuvent suivre deux étapes principales pour se protéger de ce type de vulnérabilité. (Non, la réponse n’est pas d’utiliser un gestionnaire de mots de passe.)
- Laissez la saisie automatique préventive désactivée. Les bons services et applications ont cette option désactivée par défaut. Laissez-le tel quel pour plus de sécurité.
- Si vous utilisez un service ou une application qui ne remplit pas automatiquement les formulaires hébergés sur des sites externes, ou du moins essaie de le faire, vous recevrez un avertissement.
Si vous décidez de vous en tenir à Bitwarden, un service par ailleurs fiable et notre gestionnaire de mots de passe gratuit préféré, vous devez également désactiver le remplissage automatique préventif (voir mise à jour : 17 mars 2023), vous devez également prendre les précautions suivantes :
- N’utilisez la saisie automatique déclenchée manuellement que sur les sites auxquels vous faites raisonnablement confiance. Par exemple, Apple a besoin de ressources pour se protéger contre les éléments HTML compromis. (Nous sommes tous confrontés à un problème beaucoup plus important si nous ne protégeons pas nos utilisateurs de ce type d’exploit.)
Dominik Tomaszewski / Fonderie
Malheureusement, les utilisateurs de Bitwarden ne semblent pas être en mesure de contourner ce problème de remplissage automatique lorsqu’ils copient les informations de connexion à partir d’un gestionnaire de mots de passe et les collent dans un formulaire. Si un formulaire hébergé en externe est compromis, il est compromis.Jusqu’à ce que la mise à jour de Bitwarden soit mise en ligne la semaine prochaine [ed: see the 3/17/23 update note below], peu importe la façon dont vous entrez vos informations de connexion. Je ne sais pas s’il s’agit d’un formulaire hébergé en interne ou d’un formulaire hébergé en externe. C’est le problème.
Quant au site officiel compromis, il n’y a toujours rien pour se protéger de la situation. C’est pourquoi il est si important de définir des mots de passe aléatoires pour chaque site, service et application. Cela limitera les dégâts à cet endroit. Qu’on le veuille ou non, un gestionnaire de mots de passe est le meilleur moyen de garder une trace de dizaines (voire de centaines) d’informations d’identification. Vous pouvez éviter la plupart des problèmes en choisissant (et en utilisant) un avec soin.
Mise à jour : 17 mars 2023
Bitwarden annonce qu’il publiera une mise à jour la semaine prochaine qui modifiera le comportement du remplissage automatique sur les pages contenant des éléments iframe. Selon Gary Orenstein, directeur de la clientèle de Bitwarden, le service combinera des domaines “de confiance” (URL que les utilisateurs ont stockées dans leurs entrées de coffre-fort de mots de passe ou dans le cadre de la liste par défaut de sites légitimes connus de Bitwarden) et des “domaines de confiance”. distinguer les domaines. Domaines (adresses Web qui ne correspondent pas aux informations stockées dans votre coffre-fort de mots de passe ou à la liste par défaut de sites canoniques de Bitwarden).
Pour les domaines de confiance, lors de l’ouverture d’une page avec un formulaire de connexion iframe, le remplissage automatique fonctionne comme avant et les informations d’identification de l’utilisateur sont automatiquement renseignées. C’est lorsque la fonction “Remplissage automatique au chargement de la page” est activée (je l’ai appelée “remplissage automatique préemptif” ci-dessus, mais elle reste désactivée par défaut), ou lorsque je déclenche manuellement le remplissage automatique.
Pour les domaines non approuvés, Bitwarden réagit de deux manières. Si vous avez activé la fonction « Remplissage automatique au chargement de la page » (ci-dessus appelée « Remplissage automatique préventif »), le formulaire ne sera pas rempli automatiquement. Bitwarden affichera un avertissement avec l’URL lorsque vous déclencherez manuellement le remplissage automatique. Il vous demandera de continuer ou d’annuler. Ces alertes sont toujours déclenchées sauf si l’utilisateur ajoute l’URL à l’entrée du coffre-fort de mots de passe. Les sites non sécurisés (http) associés à des domaines de confiance affichent également un avertissement.
Cependant, Bitwarden conserve les mêmes règles de correspondance par défaut qu’avant cette mise à jour. Toute URL correspondant à un domaine de base (tel que www.google.com ou keep.google.com) stockée dans votre coffre-fort de mots de passe ou dans la liste de correspondance par défaut de Bitwarden est considérée comme fiable. En d’autres termes, les sous-domaines des domaines de confiance obtiennent toujours des chemins.
Cette amélioration place Bitwarden sur un pied d’égalité avec d’autres services de gestion de mots de passe qui avertissent les utilisateurs avant de remplir un formulaire de connexion iframe.Paramètres > Remplissage automatique > Détection de correspondance d’URI par défaut dans une extension de navigateur) ou par entrée. En fait, vous pouvez ajouter plusieurs URL à votre entrée Password Vault, chacune avec des règles de correspondance différentes. Si vous préférez des contrôles de sécurité plus stricts, nous vous recommandons de modifier la règle de correspondance de “Base Domain” à “Exact”. Vous pouvez également passer à “jamais” pour désactiver complètement le remplissage automatique. Pour plus d’informations sur le fonctionnement de chaque option (domaine de base, hôte, expression régulière, etc.), reportez-vous à la page d’aide de Bitwarden.