En bref, l’application de navigateur Proton Pass n’est plus vulnérable aux attaques de clickjacking signalées. Nous avons été alertés de cette vulnérabilité par un rapport du chercheur en cybersécurité Marek Tóth présenté à la DEF CON 33.

Tóth a fait une présentation sur un nouveau type d’attaque de clickjacking qu’il avait découvert. Il a expliqué comment l’attaque fonctionnait et comment les données dans l’application de navigateur de votre gestionnaire de mots de passe pouvaient y être vulnérables. Proton Pass était l’un des exemples utilisés dans sa présentation et Tóth a mené avec succès une attaque de clickjacking sur sa propre application de navigateur. Nous avons traité cette vulnérabilité avec le déploiement de la version 1.31.6 de Proton Pass, et nous recommandons fortement de mettre à jour votre application web Proton Pass si vous ne l’avez pas déjà fait.

Qu’est-ce qu’une attaque de clickjacking ?

Telle que définie par l’Open Worldwide Application Security Project (OWASP), une attaque de clickjacking(nouvelle fenêtre) peut être définie comme suit :

« Le clickjacking, également connu sous le nom d’attaque de redressement d’interface utilisateur (“UI redress attack”), se produit lorsqu’un attaquant utilise plusieurs couches transparentes ou opaques pour inciter un utilisateur à cliquer sur un bouton ou un lien sur une autre page alors qu’il avait l’intention de cliquer sur la page de niveau supérieur. Ainsi, l’attaquant “détourne” les clics destinés à sa page et les dirige vers une autre page, très probablement détenue par une autre application, un autre domaine ou les deux. »

Dans son rapport, Tóth a identifié que « de nombreux programmes de recherche de bugs ont cette vulnérabilité listée dans la section “hors périmètre”, et dans le meilleur des cas, ils l’acceptent mais ne la récompensent pas. » Les menaces de clickjacking ne sont pas considérées comme une menace pour la plupart des entreprises de nos jours car les protections contre celles-ci sont courantes.

Cependant, Tóth a pu développer une nouvelle technique d’attaque de clickjacking avec plusieurs variantes d’attaque. Il décrit le processus comme la création d’un « script malveillant qui manipule les éléments de l’interface utilisateur que les extensions de navigateur injectent dans le DOM en les rendant invisibles à l’aide de JavaScript. » Il a ensuite testé ce nouveau type d’attaque sur 11 gestionnaires de mots de passe pouvant être utilisés comme extensions de navigateur, y compris Proton Pass. Les 11 gestionnaires de mots de passe se sont révélés vulnérables à l’attaque de clickjacking d’extension basée sur le DOM de Tóth.

Vous pouvez trouver les informations sur la façon dont Tóth a mené ses tests dans le rapport complet(nouvelle fenêtre).

Proton Pass est-il sûr à utiliser ?

Dans la version 1.31.6 de l’application Proton Pass, nous avons publié un correctif pour empêcher cette attaque d’être efficace. Les éléments d’extension pertinents et la superposition ont été traités, et nous avons également ajouté Tóth à notre liste de contributeurs de sécurité pour ses contributions à notre recherche sur la sécurité.

Nous invitons les experts en sécurité à tester toutes nos applications Proton via notre programme de recherche de bugs, et des entreprises de cybersécurité tierces effectuent régulièrement des audits de notre code pour s’assurer que toutes les affirmations que nous faisons sur nos produits sont vraies.

Que dois-je faire pour me protéger ?

Dans son rapport, Tóth fait des recommandations sur les actions que vous pouvez prendre pour vous protéger contre les attaques de clickjacking ainsi que d’autres types de cyberattaques. Nous recommandons également de prendre les mesures suivantes :

  • Vérifiez que les mises à jour automatiques sont activées. L’exécution de la version la plus récente de Proton Pass vous aide à rester protégé contre les vulnérabilités jour 0
  • Envisagez de désactiver le remplissage automatique manuel et d’utiliser uniquement le copier-coller. Proton Pass vous permet d’utiliser le remplissage automatique de vos mots de passe en deux clics afin de vous donner le temps d’évaluer si un site internet est sécurisé pour vous, mais vous pouvez également choisir de ne pas utiliser le remplissage automatique si vous préférez réduire les risques.

Proton a reçu une certification ISO 27001 pour prouver que nous sommes une organisation transparente et sécurisée. Tout ce que vous stockez dans vos coffres-forts est protégé par le chiffrement de bout en bout pour garantir que votre respect de la vie privée est maintenu et que personne d’autre que vous ne peut accéder à vos données. Cependant, nous recommandons toujours d’être prudent et de vous assurer que vous créez des mots de passe forts et variés et que vous vous protégez contre l’hameçonnage et les logiciels malveillants avec des alias hide-my-email.