Bitwarden : à cause de la saisie automatique, vos identifiants peuvent fuiter !
La fonctionnalité de saisie automatique de Bitwarden est dans le viseur des analystes de Flashpoint puisqu'elle représente un risque pour les identifiants de votre coffre-fort ! Voici ce qu'il faut savoir.
Pour rappel, Bitwarden est un gestionnaire de mots de passe populaire qu'il est possible d'utiliser en mode Cloud (hébergé par Bitwarden) ou en mode self-hosted (hébergé sur son propre serveur, ou sur un NAS, par exemple).
Le problème de sécurité auquel fait référence cet article a été reporté à Bitwarden en 2018, par les analystes de Flashpoint ! Il concerne la fonctionnalité de saisie automatique, utile pour remplir automatiquement un formulaire de connexion à partir des identifiants de votre coffre-fort (en s'appuyant sur le domaine), mais qui autoriserait l'utilisation d'iframe. Ainsi, un site malveillant pourrait exploiter un iframe pour voler vos identifiants !
D'après l'analyse de Flashpoint, il s'avère que Bitwarden autorise la saisie automatique au sein d'iframes pour le domaine principal du site, ses éventuels sous-domaines, mais aussi pour des domaines externes. De ce fait, il y a un réel danger comme l'explique Flashpoint : "Bien que l'iframe intégrée n'ait accès à aucun contenu de la page parente, elle peut attendre la saisie du formulaire de connexion et transmettre les informations d'identification saisies à un serveur distant sans autre interaction de la part de l'utilisateur."
Puisque l'on peut utiliser des domaines externes ou des sous-domaines, un pirate pourrait héberger une page de phishing sur un sous-domaine, et si le domaine principal est associé à une entrée de la base Bitwarden de l'utilisateur, l'extension du navigateur enverra les identifiants automatiquement ! Ainsi, l'attaquant va récupérer les identifiants de l'utilisateur.
Même si ce scénario est complexe, car il faut parvenir à enregistrer un sous-domaine correspondant à un domaine légitime, il est plausible.
L'avis de Bitwarden
Bitwarden reconnaît que la fonctionnalité autofill représente un risque potentiel. D'ailleurs, c'est précisé dans la documentation officielle et dans les paramètres de l'extension.
La bonne nouvelle, on va dire, c'est que cette fonctionnalité de saisie automatique est désactivée par défaut dans les paramètres de l'extension Bitwarden. Ce qui signifie que Bitwarden peut remplir un formulaire de connexion à votre place, mais que vous devez sélectionner les identifiants à partir de l'extension.
La documentation de Bitwarden précise : "Cette fonction est désactivée par défaut, car, bien qu'elle soit généralement sûre, des sites web compromis ou non fiables pourraient en profiter pour voler des informations d'identification." - La majorité des utilisateurs ne verront pas cet avertissement, et verront surtout le côté pratique de cette fonctionnalité...
Par ailleurs, Bitwarden explique qu'il est difficile de corriger "cette faille de sécurité" puisque certains sites populaires ont besoin de faire des appels iframes vers des domaines externes. À titre d'exemple, Bitwarden cite le domaine icloud.com qui utilise une iframe du domaine apple.com.
En résumé, n'activez pas la fonctionnalité "Saisie automatique" de l'extension Bitwarden ! Au final, Bitwarden n'est peut-être pas le seul gestionnaire de mots de passe concerné par ce problème de sécurité.
