Cette faille met en danger les mots de passe de dizaines de millions d'utilisateurs : comment se protéger

Une faille critique a été découverte dans les systèmes d’autocomplétion de mot de passe utilisés par les gestionnaires les plus populaires. Il est urgent de vérifier les mises à jour.

L’une des meilleures bonne pratique pour sécuriser ses comptes en ligne sur Internet est de faire appel à un gestionnaire de mot de passe.

Il permet de générer et de stocker des mots de passe très complexes, trop pour être mémorisés ou noter par un humain, et ne vous laisse la tâche que de retenir un seul mot de passe : celui du coffre-fort.

Évidemment, cela veut dire qu’il est particulièrement crucial que ce gestionnaire de mot de passe soit parfaitement sécurisé. Aussi, quand une faille est découverte, elle doit tout de suite être prise très au sérieux. En particulier, si l’on parle d’une faille qui touche tous les services.

Une faille critique qui permet d’accéder à vos mots de passe

Cette faille basée sur le clickjacking, détournement de clic en français, est en fait relativement simple dans son principe. Elle a été découverte et présentée par Marek Tóth, chercheur en cybersécurité.

Un simple clic n’importe où sur un site web contrôlé par des pirates pourrait permettre à ces derniers de voler les données des utilisateurs (coordonnées bancaires, données personnelles, identifiants de connexion, y compris TOTP).

Ici, la technique consiste à manipuler l’extension de votre gestionnaire de mot de passe pour provoquer un remplissage automatique de vos identifiants avec un simple clic de l’utilisateur. Les invites d’identifiants sont placées en transparence avec une opacité à zéro les rendant complètement invisibles.

Quels sont les services touchés ?

La liste des gestionnaires concernés lors de la découverte est vertigineuse :

Apple iCloud
1Password
Bitwarden
Dashlane
Enpass
Keeper
LastPass
LogMeOnce
NordPass
ProtonPass
RoboForm

Attention, il ne s’agit pas d’une liste exhaustive. Marek Tóth a simplement identifié la faille sur ces 11 services. De plus, certains ont déjà eu le droit à une mise à jour, mais cela ne veut pas dire que vous êtes hors de danger, nous y reviendrons.

Il s’agit dans tous les cas de l’extension pour navigateur, et non de l’application dédiée au gestionnaire de mot de passe ou de son intégration système (dans le cas d’iCloud sur les appareils Apple).

Comment se protéger ?

Si vous utilisez un navigateur basé sur Chromium (Google Chrome, Microsoft Edge, Brave, Vivaldi, Opera, etc), il est recommandé de configurer l’accès aux sites par votre extension de gestionnaire de mot passe sur « en cas de clic ».

Pour cela, faite un clic droit sur l’extension de votre gestionnaire de mots de passe depuis votre navigateur, et sélectionnez « Gérer les extensions », puis cliquez sur « détails » à côté de votre gestionnaire.

Cliquez sur « détails » dans « Gérer les extensions ». // Source : Frandroid

Sélectionnez « En cas de clic » // Source : Frandroid

Certains gestionnaires de mots de passe ont déjà été mis à jour pour combler cette faille :

Dashlane (v6.2531.1 (1.8.2025))
Enpass (6.11.6)
Keeper (17.2.0)
NordPass (5.13.24 (15.2.2024))
ProtonPass (1.31.6)
RoboForm (9.7.6 (25.7.2024))

La mise à jour 2025.8.1 de Bitwarden semble également avoir apporté des correctifs, mais pas suffisants pour juger la faille comme comblée.

Pour toutes ces extensions, il est nécessaire de procéder à la mise à jour depuis la page des extensions de votre navigateur pour vous assurer d’être sur la bonne version.

Mettre à jour le gestionnaire de mot de passe installé sur votre ordinateur ne va pas suffire. Il faut impérativement s’assurer de la mise à jour des extensions également.

Votre café et votre dose de tech vous attendent sur WhatsApp chaque matin avec Frandroid.