C'est dommage que l'article de Korben ne reprenne pas l'information que ça fonctionne sur les sous-domaines d'un domaine qu'on a déjà dans son gestionnaire de mots de passe.
Par exemple, pour aspirer les identifiants de toto.example.com, il faut que le gestionnaire ait une entrée en example.com. Et donc pour choper des identifiants du type Google, il faut que l'attaquant maîtrise accounts.google.com ou un de ses sous-domaines.
Ce n'est donc pas exploitable pour "n'importe quel site" mais pour un site offre des sous-domaines. Est-ce que ça fonctionnerait sur site comme unblogquiparledecrayonsdecouleurs.wordpress.com ?
et c'est apparemment corrigé depuis deux jours avec la version 1.9.9.2 de KeePassXC-Browser.
Fix parent element opacity check for better clickjacking attempt prevention [#2641]
We loved your article on Password Manager extension clickjacking attacks. We would love it if you evaluated KeePassXC as well and included it as an addendum to your blog.
We tested our extension ourselves and found only one issue that we corrected in the 1.9.9.2 release.
Marek Tóth
@marektoth
·
22 août
As requested, I tested KeePassXC (browser integration), and both version 1.9.9.1 and 1.9.9.2 were tested. Both versions ARE VULNERABLE. I have therefore added everything to the article – it includes links to videos and test pages.
Mais on parle toujours de l'extension, pas de KeepassXC lui-même qu'on peut très bien utiliser seul (ce que je fais) donc le titre de ton commentaire reste inexact.
À ce compte, on peut aussi dire que Bitwarden n'est pas impacté, parce qu'on peut l'utiliser sans l'extension, via Bitwarden.com, ou via le client lourd, ou via bitwarden-cli.
C'est du poil-de-cutage qui semble un peu vain :).
Posté par mahikeulbody .
Évalué à 4 (+2/-0).
Dernière modification le 23 août 2025 à 18:25.
Ce n'est pas vain car ça peut inquiéter inutilement les utilisateurs de KeepassXC qui n'utilisent pas l'extension (dans mon entourage, par exemple, aucun ne l'utilise). D'autant que tu ne donnes aucune explication ni lien permettant de voir que ça ne concerne que l'utilisation avec l'extension.
Les extensions sont le centre de l'article, c'est le cœur du sujet.
Mais oui, c'est vrai que ça reste utile de préciser que sans extension de navigateur, la technique de clickjacking d'extensions ne fonctionne pas, désolé d'avoir râlé :).
# Il manque un détail
Posté par cg . Évalué à 9 (+8/-1).
C'est dommage que l'article de Korben ne reprenne pas l'information que ça fonctionne sur les sous-domaines d'un domaine qu'on a déjà dans son gestionnaire de mots de passe.
Par exemple, pour aspirer les identifiants de toto.example.com, il faut que le gestionnaire ait une entrée en example.com. Et donc pour choper des identifiants du type Google, il faut que l'attaquant maîtrise accounts.google.com ou un de ses sous-domaines.
Ce n'est donc pas exploitable pour "n'importe quel site" mais pour un site offre des sous-domaines. Est-ce que ça fonctionnerait sur site comme unblogquiparledecrayonsdecouleurs.wordpress.com ?
Ceci étant, ça reste très grave :(.
[^] # Re: Il manque un détail
Posté par mahikeulbody . Évalué à 5 (+3/-0).
Tout comme le désintérêt apparent des entreprises concernées (à part Bitwarden).
[^] # Re: Il manque un détail
Posté par cg . Évalué à 2 (+0/-0).
J'ai lu trop vite, en fait il y a plusieurs attaques, elles restent très surprenantes.
[^] # Re: Il manque un détail
Posté par Stenon . Évalué à 4 (+4/-0).
La page de la personne qui a recensé les attaques (déjà en lien dans l'article de Korben) est assez complète : https://marektoth.com/blog/dom-based-extension-clickjacking/
Il a mis a disposition un site vitrine pour tester les différentes techniques : https://websecurity.dev/password-managers/dom-based-extension-clickjacking/
# KeepassXc
Posté par arnauld . Évalué à 1 (+0/-0).
Est impacté aussi.
arnauld
[^] # Re: KeepassXc
Posté par mahikeulbody . Évalué à 4 (+2/-0). Dernière modification le 23 août 2025 à 14:42.
Non, KeepassXC n'est impacté que si on l'utilise avec KeePassXC-Browser.
Personnellement, je n'utilise pas cette extension.
[^] # Re: KeepassXc
Posté par mahikeulbody . Évalué à 3 (+1/-0).
et c'est apparemment corrigé depuis deux jours avec la version 1.9.9.2 de KeePassXC-Browser.
Fix parent element opacity check for better clickjacking attempt prevention [#2641]
[^] # Re: KeepassXc
Posté par arnauld . Évalué à 2 (+1/-0).
Il semble que si, voir cette discussion sur X :
https://x.com/KeePassXC/status/1958741448326513140
arnauld
[^] # Re: KeepassXc
Posté par mahikeulbody . Évalué à 4 (+2/-0).
Merci pour l'info.
Mais on parle toujours de l'extension, pas de KeepassXC lui-même qu'on peut très bien utiliser seul (ce que je fais) donc le titre de ton commentaire reste inexact.
[^] # Re: KeepassXc
Posté par cg . Évalué à 3 (+1/-0).
À ce compte, on peut aussi dire que Bitwarden n'est pas impacté, parce qu'on peut l'utiliser sans l'extension, via Bitwarden.com, ou via le client lourd, ou via bitwarden-cli.
C'est du poil-de-cutage qui semble un peu vain :).
[^] # Re: KeepassXc
Posté par mahikeulbody . Évalué à 4 (+2/-0). Dernière modification le 23 août 2025 à 18:25.
Ce n'est pas vain car ça peut inquiéter inutilement les utilisateurs de KeepassXC qui n'utilisent pas l'extension (dans mon entourage, par exemple, aucun ne l'utilise). D'autant que tu ne donnes aucune explication ni lien permettant de voir que ça ne concerne que l'utilisation avec l'extension.
[^] # Re: KeepassXc
Posté par cg . Évalué à 3 (+1/-0).
Les extensions sont le centre de l'article, c'est le cœur du sujet.
Mais oui, c'est vrai que ça reste utile de préciser que sans extension de navigateur, la technique de clickjacking d'extensions ne fonctionne pas, désolé d'avoir râlé :).
[^] # Re: KeepassXc
Posté par arnauld . Évalué à 1 (+0/-0).
C'est vrai, je vais corriger mon titre. Il faut dire que j'utilise KeepassXC surtout avec l'extension et ma super souris.
arnauld
[^] # Re: KeepassXc
Posté par arnauld . Évalué à 1 (+0/-0).
Il semble que Linuxfr ne permette pas de modifier ses posts…
arnauld
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.