Une faille des gestionnaires de mots de passe Android permet de voler vos identifiants

Une faille des gestionnaires de mots de passe Android permet de voler vos identifiants

Une équipe de chercheurs vient de dévoiler une technique permettant de dérober des identifiants via une faille affectant les principaux gestionnaires de mots de passe fonctionnant sur les appareils Android. Pas très rassurant…

Les gestionnaires de mots de passe sont des outils très pratiques dont l'utilisation s'est largement répandue parmi le grand public, que ce soit sur ordinateur ou sur smartphone. Ces utilitaires améliorent en effet grandement notre sécurité dans l'espace numérique, en nous permettant de gérer un grand nombre de mots de passe, à la fois forts et uniques, pour chacun des nombreux services en ligne que nous utilisons tous chaque jour. Cependant, comme n'importe quel logiciel, les gestionnaires de mots de passe ne sont pas exempts de failles de sécurité et des vulnérabilités sont régulièrement découvertes, comme durant le Black Hat 2023, une série de conférences dédiées à la cybersécurité, qui s'est déroulée du 4 au 7 décembre 2023 à Londres.

AutoSpill : une technique pour exploiter la faille des gestionnaire de mots de passe

Lors de l'événement, une équipe de chercheurs indiens de l'Institut International des Technologies de l'Information d'Hyderabad a révélé avoir mis au point une technique permettant de dérober des identifiants dans de nombreux gestionnaires de mots de passe pour Android. Baptisée AutoSpill, la technique s'appuie sur une fuite de données identifiée entre deux composants logiciels largement utilisés sur Android. D'une part, la capacité offerte par le système de remplir automatiquement des formulaires de connexion, que ce soit dans le navigateur Web ou directement dans les applications. D'autre part, la possibilité pour les applications d'afficher directement du contenu Web en leur sein, comme un formulaire de connexion justement, sans ouvrir le navigateur Internet du smartphone, grâce à un composant nommé WebView.

© Black Hat / Internation Institure of Information Technology Hyderabad

Ces deux capacités s'avèrent particulièrement pratiques au quotidien, en permettant de remplir rapidement ses données d'identification sur différentes applications, sans avoir à jongler manuellement avec le gestionnaire de mot de passe et le navigateur Internet. Néanmoins, c'est justement entre le composant WebView et le formulaire de connexion que les chercheurs ont détecté une fuite de données, permettant à une application de récupérer les identifiants de l'utilisateur. L'équipe de recherche a publié une présentation très claire et pédagogique, expliquant les mécanismes à l'origine de cette faille et la méthode permettant de l'exploiter. Cette vulnérabilité leur semble d'autant plus préoccupante que, contrairement à d'autres, son exploitation ne nécessite pas forcément l'exécution de code JavaScript pour fonctionner, ce qui la rend particulièrement difficile à détecter au sein des applications téléchargeables sur le PlayStore.

AutoSpill : 7 gestionnaires de mots de passe populaires sont concernés

Les chercheurs ont testé leur technique AutoSpill sur sept gestionnaires de mot de passe parmi les plus populaires et les plus utilisés sur Android. Les essais ont révélé que cinq d'entre eux, à savoir 1Password, LastPass, Enpass, Keepass2Android et Keeper, étaient vulnérables à la technique AutoSpill, sans injection de code JavaScript, et pouvaient ainsi laisser fuiter le nom d'utilisateur et le mot de passe lors du remplissage automatique. Les solutions Google Smart Lock et Dashlane ne semblaient quant à elle pas sensibles à cette version de l'attaque. En revanche, les sept gestionnaires se montraient vulnérables à AutoSpill en cas d'injection de code JavaScript.

© Black Hat / Internation Institure of Information Technology Hyderabad

Bien entendu, l'équipe de chercheurs a fait part de ses découvertes aux éditeurs des différents gestionnaires de mot de passe concernés, et leur a transmis une série de recommandations pour corriger le fonctionnement de leurs produits, et ainsi éviter la fuite des identifiants lors de l'utilisation du remplissage automatique. D'après les informations de Bleeping Computer, les développeurs des logiciels affectés devraient prochainement publier des patchs de sécurité pour combler cette vulnérabilité.

En attendant ces correctifs, il ne semble pas y avoir de raison de paniquer et de renoncer à utiliser les gestionnaires de mots de passe identifiés. En effet, aucun élément ne permet à l'heure actuelle d'affirmer que cette faille de sécurité serait activement exploitée par des acteurs malveillants, et les bénéfices de l'utilisation d'un gestionnaire de mots de passe, en termes de sécurité informatique personnelle, restent toujours largement supérieurs aux risques encourus. Comme toujours, restez vigilants quant aux applications que vous installez sur votre téléphone et faîtes toutes les mises à jour proposées par votre système dès qu'elles sont disponibles.