Le service de gestion de mots de passe open source Bitwarden a introduit un nouveau menu de remplissage automatique en ligne qui résout le risque de vol des informations d’identification des utilisateurs via des champs de formulaire malveillants.
Le problème a été mis en évidence il y a près d’un an lorsque les analystes de Flashpoint ont démontré qu’il était possible pour les attaquants d’injecter des iframes voyous sur des sites légitimes vulnérables ou des sous-domaines susceptibles d’être détournés.
La réponse de Bitwarden au risque à l’époque était que la fonction de remplissage automatique iframe devrait rester disponible pour servir des scénarios d’utilisation légitimes, comme pour icloud.com ou apple.com, mais continuera d’être désactivé par défaut.
Les utilisateurs qui souhaitaient l’activer recevraient un avertissement visible sur le risque d’activer l’option dans le menu de l’extension.
Quelques jours plus tard, l’équipe Bitwarden a annoncé qu’elle ajouterait une autre couche de sécurité, autorisant les remplissages automatiques d’iframe uniquement sur les sites et sous-domaines de confiance du domaine d’origine.
Aujourd’hui, le gestionnaire de mots de passe a introduit un système qui intègre les leçons tirées des défis de sécurité passés, permettant aux utilisateurs de remplir leurs identifiants de connexion sans risquer de perdre leurs données sensibles au profit d’acteurs du phishing.
Plus précisément, les mesures de protection suivantes garantissent désormais la sécurité du système de remplissage automatique:
- Bit warden ne remplira les informations d’identification que lorsqu’un utilisateur sélectionne un champ de formulaire, atténuant ainsi le risque de remplissage automatique des informations d’identification sur des sites Web malveillants ou des iframes sans que l’utilisateur en soit conscient.
- Les utilisateurs ont la possibilité de protéger leurs informations de connexion par mot de passe, ajoutant une autre couche de sécurité lors de l’utilisation du remplissage automatique.
- Des tests d’intrusion approfondis par des tiers ont été effectués et pour identifier et combler les failles de sécurité, y compris probablement celles liées aux iframes et aux sous-domaines.
En termes d’expérience utilisateur, la nouvelle fonctionnalité de remplissage automatique en ligne a été conçue pour faciliter le remplissage automatique en gardant le menu au-dessus de tous les autres éléments visibles, en le repositionnant en fonction de la taille de la page et de la position de défilement, en permettant la navigation au clavier, et n’affichant les résultats que si l’utilisateur est connecté à l’extension.
Par défaut, la fonctionnalité est désactivée, mais les utilisateurs peuvent l’activer à partir de l’icône d’extension de Bitwarden dans « Paramètres » → « Remplissage automatique », où ils peuvent définir les options déroulantes « Afficher le menu de remplissage automatique sur les champs de formulaire ».
Pour éviter les conflits, il est recommandé de désactiver les fonctionnalités de remplissage automatique sur votre navigateur Web si elles sont activées sur l’extension Bitwarden.
Le gestionnaire de mots de passe propose plusieurs options de remplissage automatique qui incluent des raccourcis clavier, un menu contextuel dédié, un remplissage automatique au chargement de la page et un remplissage automatique manuel.
Les utilisateurs peuvent également définir des paramètres spécifiques pour les URL de confiance qu’ils souhaitent, mais warden doit fournir l’option de remplissage automatique.