Un simple clic peut vider votre gestionnaire de mots de passe

📅 Mis à jour le 12 Déc 2025
⏱️ 8 min de lecture
Tutos archivés
⚠️ Note importante : Cet article fait partie des Tutos archivés. Il présente un ancien tutoriel lié à un logiciel ou une technologie aujourd’hui obsolète ou abandonnée. Son contenu est conservé à des fins de référence, d’archivage ou pour aider à dépanner des systèmes anciens encore en usage.

Imaginez : vous êtes tranquillement sur un site web tout à fait normal. Vous cliquez sur un bouton banal – pour accepter les cookies, fermer une pop-up, ou juste accéder au contenu. Sauf que… ce simple clic vient d’ouvrir la porte à vos mots de passe, vos cartes bancaires, vos codes 2FA, et peut-être même vos passkeys. Oui, tout ça, d’un seul clic.

C’est exactement ce que vient de révéler le chercheur en cybersécurité Marek Tóth : une nouvelle forme de clickjacking qui touche potentiellement 40 millions d’utilisateurs de gestionnaires de mots de passe dans le monde.

Qui est concerné ? Spoiler : presque tout le monde

Si vous utilisez 1Password, Bitwarden, LastPass, Enpass, iCloud Passwords ou LogMeOnce, mauvaise nouvelle : ils sont vulnérables.

D’autres comme Dashlane, Keeper, NordPass, ProtonPass et RoboForm ont déjà réagi et corrigé (partiellement pour certains). Mais pour les autres… disons que les portes restent grandes ouvertes.

Le plus inquiétant ? Sur les 11 gestionnaires testés, tous avaient la faille. Et d’après BleepingComputer certains éditeurs ont carrément balayé le problème d’un revers de main : “hors périmètre” pour 1Password, “informatif” pour LastPass (ce qui, en langage corporate, veut dire : “on ne fera rien”). LogMeOnce ? Pas de réponse.

Mais c’est quoi, exactement, ce “clickjacking” ?

Traditionnellement, le clickjacking est une vieille attaque web qui consiste à superposer des éléments invisibles sur une page pour vous faire cliquer… ailleurs que vous ne le pensez. Pendant des années, ce problème était presque réglé grâce à des protections comme les en-têtes X-Frame-Options et Content-Security-Policy.

Sauf que maintenant, l’attaque a muté : elle ne cible plus les sites web, mais vos extensions de navigateur — et notamment vos gestionnaires de mots de passe.

Le principe ? L’attaquant crée une couche invisible au-dessus d’un élément légitime (par exemple, une bannière de cookies ou un captcha). Vous cliquez pour fermer cette bannière ? En réalité, vous venez d’activer l’autoremplissage de votre gestionnaire, qui balance vos données sensibles… directement chez l’attaquant.

Comment ça marche concrètement ?

Voici le scénario typique :

  1. L’attaquant crée une page piégée (ça peut être une vraie page web malveillante ou un site légitime compromis via une faille XSS ou un sous-domaine oublié).
  2. Il y injecte une couche invisible , par exemple une iframe ou un élément HTML transparent , qui contient le bouton “Autoremplir” de votre gestionnaire de mots de passe. Cette couche est alignée exactement là où votre souris risque de cliquer (sur un bouton de consentement, une pop-up de newsletter, un captcha…).
  3. Vous cliquez en pensant fermer une pop-up ou valider quelque chose. En réalité, votre clic active le remplissage automatique de l’extension (manuel, mais déclenché par votre clic), qui insère vos identifiants, votre carte bancaire ou vos informations personnelles… dans un champ contrôlé par l’attaquant.
  4. Le script malveillant récupère immédiatement ces données et les envoie au pirate. En un seul clic, il peut avoir vos logins, vos codes 2FA (si stockés), vos cartes bancaires, et parfois même vos passkeys.

Voyez-le par vous-même : le piège en action


 

 

 

 

 

 

Vous pensez avoir cliqué sur un bouton banal ? Et pourtant… vos données viennent peut-être d’être exposées.

Ne me croyez pas sur parole : regardez la suite de démonstration.

La vidéo montre exactement comment un simple clic sur une page apparemment normale peut déclencher l’autoremplissage de votre gestionnaire de mots de passe et envoyer vos informations sensibles directement à un attaquant.

Pour que vous réalisiez l’ampleur du problème, regardons les chiffres concrets. Socket, une entreprise spécialisée en cybersécurité, a vérifié les résultats de cette recherche et confirme :

  • 6 gestionnaires sur 9 pouvaient laisser fuiter vos détails de carte bancaire.
  • 8 sur 10 exposaient vos informations personnelles (nom, email, téléphone…).
  • Et 10 sur 11 mettaient vos identifiants de connexion en danger.

En d’autres termes, si vous utilisez un gestionnaire de mots de passe, il y a de très fortes chances que vos données sensibles soient vulnérables. Et ce n’est pas juste une possibilité théorique : les tests l’ont prouvé, avec des scénarios réels.

Qu’est-ce qu’ils peuvent voler ?

Beaucoup trop de choses :

  • Vos identifiants de connexion (email, mot de passe, et même le code 2FA si vous l’avez stocké dedans)
  • Vos cartes bancaires (numéro, date d’expiration, CVV)
  • Vos informations perso (nom, adresse, téléphone, date de naissance)
  • Dans certains cas, même vos passkeys peuvent être détournées

Le pire ? Ça peut arriver sur un site parfaitement légitime, via une faille XSS ou un sous-domaine oublié par l’éditeur du site.

Comment vous protéger sans devenir parano ?

Soyons clairs : il n’y a pas encore de patch universel. Mais vous pouvez limiter les risques dès maintenant :

  1. Désactivez l’autofill automatique : Oui, c’est moins pratique, mais c’est aujourd’hui la seule vraie barrière.
  2. Utilisez le copier-coller pour vos mots de passe plutôt que le clic rapide.
  3. Activez les demandes de confirmation avant chaque remplissage si votre gestionnaire le propose.
  4. Méfiez-vous des sites avec pop-ups envahissantes, surtout celles qui ressemblent à des captchas ou des bannières cookies trop insistantes.

Le plus ironique ?

Ces gestionnaires sont censés être notre bouclier numérique. Mais avec cette faille, ils deviennent un talon d’Achille. Les éditeurs veulent nous simplifier la vie, mais chaque raccourci peut devenir une porte pour les hackers. Et quand les rapports de sécurité sont ignorés parce qu’ils sont jugés “hors périmètre”, ce sont nous, les utilisateurs, qui payons l’addition.

Conclusion

Tant que cette vulnérabilité n’est pas corrigée partout, adoptez un réflexe simple : un clic n’est jamais innocent. Prenez le contrôle de vos extensions, réduisez l’automatisation au minimum et gardez un œil critique sur les sites que vous visitez.

Un seul clic peut suffire à tout basculer. Alors, restez vigilant !

Il n’y a pas d’entrée similaire.

À propos de l'expert

Ahmed el jaouari

Ahmed EL JAOUARI

Ahmed, fondateur de la plateforme FunInformatique, est diplômé en ingénierie des systèmes informatiques et passionné par la cybersécurité. Avec sa plateforme, il propose des guides pratiques et des tutoriels visuels visant à rendre les technologies numériques accessibles à tous, même aux débutants.

Application Android

Téléchargez notre application mobile pour accéder à tous nos contenus et tutoriels où que vous soyez.

Télécharger sur Play Store →

Vérification Email

Découvrez si vos données ont été compromises dans une fuite avec notre outil gratuit.

Vérifier maintenant →

Questions & Réponses

Posez votre question