Vous utilisez encore cette version d’iCloud Passwords sur Firefox ? Attention, vos données sont en danger
L’utiliser en ce moment n’est pas la meilleure idée qui soit : faut-il désactiver cette extension ?
Le trousseau iCloud est censé vous simplifier la vie ; sur Mac comme sur PC, cette extension de Firefox permet d’accéder en un clic à vos identifiants stockés dans iCloud. Le tout sans avoir à jongler entre plusieurs applications. Une commodité, dangereuse en ce moment, puisque The Hacker News vient d’y repérer une faille, qui pourrait exposer vos données les plus sensibles. On vous explique tout.
Vos données à portée des pirates
C’est le chercheur en cybersécurité Marek Tóth qui a mis en évidence cette vulnérabilité dans le Document Object Model (DOM) qui affecte plusieurs gestionnaires de mots de passe, dont le trousseau iCloud. La faille en question exploite une méthode baptisée « clickjacking », que Tóth décrit ainsi : « Il s’agit d’un type d’attaque où les utilisateurs sont amenés à effectuer une série d’actions sur un site qui paraissent anodines – cliquer sur un bouton, par exemple – alors qu’en réalité, ils exécutent à leur insu les instructions de l’attaquant ».
L’attaque consiste à créer une fausse fenêtre avec un formulaire dissimulée derrière. L’utilisateur, qui n’y voit que du feu, croit simplement qu’il ferme un pop-up intrusif, mais ce clic déclenche l’autocomplétion des identifiants par l’extension. Les informations sont alors envoyées directement vers un serveur contrôlé par l’attaquant. Sans que vous ayez remarqué quoi que ce soit, mots de passe, données personnelles ou bancaires se retrouvent ensuite entre ses mains.
iCloud, LastPass, 1Password : tous vulnérables ?
Selon les chercheurs à l’origine de l’alerte, plusieurs gestionnaires de mot de passe en vogue sont touchés. Pour le trousseau iCloud, la vulnérabilité vise en particulier la version 3.1.25 utilisée par Firefox. Google Chrome embarque une version plus récente (3.1.27), mais la faille existerait toujours. D’autres acteurs comme 1Password et LastPass enquêtent encore sur l’affaire ; Bitwarden, quant à elle, a déjà publié un correctif.
Le trousseau iCloud avait déjà été victime plus tôt cette année d’une autre faille, qui avait permis à des attaquants d’intercepter des données sensibles via du trafic HTTP non sécurisé. Apple avait rapidement corrigé le problème avec la mise à jour d’iOS 18.2. Pour cette nouvelle vulnérabilité, Marek Tóth précise qu’« Apple travaille actuellement sur un correctif ».
Si vous utilisez à ce jour l’extension, prenez toutes les précautions nécessaires et restez sur vos gardes. Restez sur des sites de confiance, tenez-vous au courant des mises à jour disponibles et peut-être pouvez vous envisager une alternative plus sûre en attendant qu’Apple déploie le correctif.
- Une faille récente touche plusieurs extensions de gestion de mots de passe, dont iCloud, LastPass et 1Password.
- Sur Firefox, les identifiants peuvent être remplis à l’insu de l’utilisateur via un pop-up piégé, permettant à un attaquant de les récupérer.
- Apple prépare un correctif, tandis que certains concurrents enquêtent encore ou ont déjà publié une mise à jour.
