La fonctionnalité de remplissage automatique des informations d’identification de Bitwarden contient un comportement risqué qui pourrait permettre à des iframes malveillants intégrés dans des sites Web de confiance de voler les informations d’identification des personnes et de les envoyer à un attaquant.
Le problème a été signalé par des analystes de Flashpoint, qui ont déclaré que Bitwarden avait appris le problème pour la première fois en 2018, mais avait choisi de lui permettre d’accueillir des sites légitimes utilisant des iframes.
Bien que la fonction de remplissage automatique soit désactivée sur Bitwarden par défaut et que les conditions pour l’exploiter ne soient pas abondantes, Flashpoint indique qu’il existe encore des sites Web qui répondent aux exigences sur lesquelles des acteurs malveillants motivés peuvent tenter d’exploiter ces failles.
Remplissage automatique (in)conditionnel
Bitwarden est un service de gestion de mots de passe open source populaire avec une extension de navigateur Web qui stocke des secrets tels que les noms d’utilisateur et les mots de passe de compte dans un coffre-fort crypté.
Lorsque ses utilisateurs visitent un site Web, l’extension détecte s’il existe une connexion stockée pour ce domaine et propose de remplir les informations d’identification. Si l’option de remplissage automatique est activée, elle les remplit automatiquement lors du chargement de la page sans que l’utilisateur ait à faire quoi que ce soit.
Lors de l’analyse de Bitwarden, les chercheurs de Flashpoint ont découvert que l’extension remplissait également automatiquement les formulaires définis dans les iframes intégrés, même ceux provenant de domaines externes.
« Bien que l’iframe intégré n’ait accès à aucun contenu de la page parent, il peut attendre une entrée dans le formulaire de connexion et transmettre les informations d’identification saisies à un serveur distant sans autre interaction de l’utilisateur », explique Flashpoint.
Flashpoint a enquêté sur la fréquence d’intégration des iframes sur les pages de connexion des sites Web à fort trafic et a signalé que le nombre de cas à risque était très faible, ce qui réduisait considérablement le risque.
Cependant, un deuxième problème découvert par Flashpoint lors de l’enquête sur le problème des iframes est que Bitwarden remplira également automatiquement les informations d’identification sur les sous-domaines du domaine de base correspondant à une connexion.
Cela signifie qu’un attaquant hébergeant une page de phishing sous un sous-domaine qui correspond à une connexion stockée pour un domaine de base donné capturera les informations d’identification lorsque la victime visitera la page si le remplissage automatique est activé.
« Certains fournisseurs d’hébergement de contenu autorisent l’hébergement de contenu arbitraire sous un sous-domaine de leur domaine officiel, qui sert également leur page de connexion », explique Flashpoint dans le rapport.
« A titre d’exemple, si une entreprise a une page de connexion sur https://logins.company.tld et permet aux utilisateurs de diffuser du contenu sous https://.company.tld, ces utilisateurs peuvent voler les informations d’identification du Extensions Bitwarden. »
L’enregistrement d’un sous-domaine qui correspond au domaine de base d’un site Web légitime n’est pas toujours possible, ce qui réduit la gravité du problème.
Cependant, certains services permettent aux utilisateurs de créer des sous-domaines pour héberger du contenu, tels que des services d’hébergement gratuits, et l’attaque est toujours possible via le détournement de sous-domaine.
La réponse de Bitwarden
Bitwarden souligne que la fonction de remplissage automatique est un risque potentiel et inclut même un avertissement important dans sa documentation, mentionnant spécifiquement la probabilité que des sites compromis abusent de la fonction de remplissage automatique pour voler des informations d’identification.
Ce risque a été mis en lumière pour la première fois dans une évaluation de la sécurité datée de novembre 2018. Bitwarden est donc conscient du problème de sécurité depuis un certain temps maintenant.
Cependant, étant donné que les utilisateurs doivent se connecter aux services à l’aide d’iframes intégrés à partir de domaines externes, les ingénieurs de Bitwarden ont décidé de garder le comportement inchangé et d’ajouter un avertissement sur la documentation du logiciel et le menu des paramètres pertinents de l’extension.
En réponse au deuxième rapport de Flashpoint sur la gestion des URI et la manière dont le remplissage automatique traite les sous-domaines, Bitwarden a promis de bloquer le remplissage automatique sur l’environnement d’hébergement signalé dans une future mise à jour, mais ne prévoit pas de modifier la fonctionnalité iframe.
Lorsque Breachtrace a contacté Bitwarden au sujet du risque de sécurité, ils ont confirmé qu’ils étaient au courant de ce problème depuis 2018 mais n’ont pas modifié la fonctionnalité car les formulaires de connexion sur les sites légitimes utilisent des iframes.
« Bitwarden accepte le remplissage automatique d’iframe car de nombreux sites Web populaires utilisent ce modèle, par exemple icloud.com utilise un iframe d’apple.com », a déclaré Bitwarden à Breachtrace dans un communiqué.
« Il existe donc des cas d’utilisation parfaitement valides où les formulaires de connexion se trouvent dans un iframe sous un domaine différent. »
« La fonctionnalité décrite pour le remplissage automatique dans le billet de blog n’est PAS activée par défaut dans Bitwarden et il y a un message d’avertissement sur cette fonctionnalité pour exactement cette raison dans le produit et dans la documentation d’aide. https://bitwarden.com/help/ auto-fill-browser/#on-page-load. »