Clickjacking des extensions DOM : DEF CON 33 révèle 11 gestionnaires vulnérables

En cybersécurité souveraine ↑ Cette chronique s’inscrit dans la rubrique Digital Security, dans la continuité des recherches menées sur les exploits et les contre-mesures matérielles zero trust.

Historique du Clickjacking (2002–2025)

Clickjacking, c’est un peu le parasite tenace du web moderne. Le terme apparaît au début des années 2000, quand Jeremiah Grossman et Robert Hansen décrivent un scénario sournois : pousser un internaute à cliquer sur quelque chose qu’il ne voit pas vraiment. Une illusion d’optique appliquée au code, vite devenue une technique d’attaque incontournable (OWASP).

• 2002–2008 : émergence du “UI redressing” : calques HTML + iframes transparentes piégeant l’utilisateur (Hansen Archive).
• 2009 : Facebook victime du Likejacking (OWASP).
• 2010 : apparition du Cursorjacking : décalage du pointeur pour tromper le clic (OWASP).
• 2012–2015 : exploitation via iframes, publicité et malvertising (MITRE CVE) (Infosec)
• 2016–2019 : le tapjacking sévit sur mobile (Android Security Bulletin).
• 2020–2024 : montée du “hybrid clickjacking” mêlant XSS et phishing (OWASP WSTG).
• 2025 : au DEF CON 33, Marek Tóth dévoile un nouveau palier : DOM-Based Extension Clickjacking (DEF CON Archive). Désormais, ce ne sont plus seulement les sites web, mais les extensions navigateur (gestionnaires de mots de passe, wallets) qui injectent les formulaires invisibles.

Aujourd’hui, l’histoire du clickjacking bascule : ce n’est plus une farce graphique, mais une faille structurelle des navigateurs et de leurs extensions. Les gestionnaires testés — 1Password, Bitwarden, iCloud Keychain, LastPass — apparaissent vulnérables (Bitwarden Release Notes).

Au DEF CON 33, le clickjacking des extensions DOM a été révélé publiquement, marquant un basculement structurel : on passe d’une simple illusion visuelle à une faille systémique touchant les gestionnaires de mots de passe et les portefeuilles crypto.

DOM-Based Extension Clickjacking — Anatomie de l’attaque

Le DOM-Based Extension Clickjacking n’est pas une variante anodine : il détourne la logique même des gestionnaires d’autofill. Ici, l’attaquant ne se contente pas de recouvrir un bouton par une iframe ; il force l’extension à remplir un faux formulaire comme si de rien n’était.

Déroulé type d’une attaque :

1. Préparation — La page piégée embarque une iframe invisible et un Shadow DOM qui masque le véritable contexte. Des champs sont rendus invisibles (opacity:0; pointer-events:none;).
2. Appât — L’utilisateur clique sur un élément anodin ; des appels focus() répétés et des redirections détournent l’événement vers le champ fantôme contrôlé par l’attaquant.
3. Exfiltration — L’extension croit remplir un champ légitime et y injecte identifiants, TOTP, passkeys, voire clés privées. Les données sensibles sont aussitôt exfiltrées.

Cette mécanique contourne les défenses classiques (CSP, X-Frame-Options, frame-ancestors) et brouille les signaux visuels. Résultat : l’autofill devient un canal d’exfiltration invisible et transforme une faille UX en faille systémique de confiance.

Gestionnaires de mots de passe vulnérables

Au DEF CON 33, les tests menés par Marek Tóth ont révélé que la majorité des gestionnaires sont exposés à une faille structurelle : le clickjacking des extensions DOM.

Sur les 11 gestionnaires évalués, 10 exposent des identifiants, 9 des TOTP et 8 des passkeys.

En clair : même le coffre-fort logiciel le plus réputé devient vulnérable dès qu’il délègue ses secrets au DOM.

• Encore vulnérables : 1Password, LastPass, iCloud Passwords, LogMeOnce
• Correctifs publiés : Bitwarden, Dashlane, NordPass, ProtonPass, RoboForm, Enpass, Keeper (partiel)
• Correctifs en cours : Bitwarden, Enpass, iCloud Passwords
• Classés “informatifs” (pas de correctif prévu) : 1Password, LastPass

Tableau de statut (mis à jour le 27 août 2025)

Technologies de correction utilisées

Depuis la révélation du DOM Extension Clickjacking à DEF CON 33, plusieurs éditeurs ont publié des correctifs. Toutefois, ces patchs restent hétérogènes et, le plus souvent, se limitent à des ajustements d’interface ou de contexte. Aucun n’a refondu la logique d’injection.

Objectif

Expliquer comment les gestionnaires tentent de corriger la faille, distinguer les patchs cosmétiques des solutions structurelles, et mettre en lumière les approches réellement souveraines (Zero DOM, matériel).

🛠️ Méthodes de correction recensées (août 2025)

📉 Limites observées

• Les patchs ne modifient pas le moteur d’injection, ils en limitent seulement le déclenchement.
• Aucune séparation structurelle interface ↔ flux de secrets.
• Tant que l’injection reste dans le DOM, de nouvelles variantes de clickjacking sont possibles.

Technologies de correction face au DOM Extension Clickjacking : analyse technique et doctrinale

📌 Constat

La faille n’est pas un bug ponctuel mais une erreur de conception : injecter des secrets dans un DOM manipulable, sans séparation structurelle ni contrôle contextuel robuste.

⚠️ Ce que les correctifs ne font pas

• Pas de refonte du moteur d’injection.
• Mesures limitées : désactivation par défaut, filtrage de sous-domaines, détection partielle d’éléments invisibles.
• Pas d’architecture Zero DOM garantissant l’inviolabilité by design.

🧠 Ce que ferait un correctif structurel

• Supprimer toute dépendance au DOM pour l’injection de secrets.
• Isoler le moteur d’injection hors navigateur.
• Exiger une authentification matérielle (NFC, PGP, biométrie).
• Tracer chaque injection (journal auditable, local/optionnellement distant).
• Interdire l’interaction avec des champs invisibles/encapsulés.

Typologie des correctifs

🧪 Tests doctrinaux (vérifier un vrai correctif)

• Injecter un champ invisible (opacity:0) dans une iframe.
• Simuler un Shadow DOM encapsulé.
• Observer si l’extension injecte malgré tout.
• Vérifier si l’événement est tracé/rejeté comme non légitime.

📜 Absence de norme industrielle

Aucune norme (NIST/OWASP/ISO) n’encadre aujourd’hui : (1) la logique d’injection des extensions, (2) la séparation UI ↔ flux secrets, (3) la traçabilité des auto-remplissages.

📣 Appel à standardisation

• Interdire l’injection de secrets dans un DOM manipulable sans vérification contextuelle forte.
• Rendre obligatoire la traçabilité/audit des auto-remplissages.
• Certifier les moteurs d’injection via tests indépendants.
• Exiger la compatibilité Zero DOM pour garantir souveraineté et inviolabilité.

Révélations CVE et réponses éditeurs (août–septembre 2025)

La découverte par Marek Tóth lors de DEF CON 33 n’a pas pu rester confidentielle :
les vulnérabilités de clickjacking des extensions DOM font désormais l’objet d’attributions officielles de références CVE.
Mais comme souvent en matière de divulgation de vulnérabilités, le processus reste lent.
Plusieurs failles ont été signalées dès le printemps 2025, mais à la mi-août, certains éditeurs n’avaient toujours pas publié de correctif public.

Réactions des éditeurs et calendrier de publication :

• Bitwarden — a réagi rapidement avec le correctif v2025.8.0 (août 2025), limitant les fuites de TOTP et d’identifiants.
• Dashlane — a publié un correctif (v6.2531.1, début août 2025), confirmé dans les notes officielles.
• RoboForm — a déployé des correctifs entre juillet et août 2025 sur Windows et macOS.
• NordPass & ProtonPass — ont annoncé des mises à jour officielles en août 2025, atténuant partiellement les risques d’exfiltration DOM.
• Keeper — a reconnu l’impact mais reste en statut “en cours d’examen”, sans correctif confirmé.
• 1Password, LastPass, Enpass, iCloud Passwords, LogMeOnce — toujours non corrigés début septembre 2025, exposant des millions d’utilisateurs.

Le problème ne réside pas uniquement dans le retard de correctifs, mais aussi dans la manière dont certains éditeurs ont minimisé la gravité.
Selon les divulgations de sécurité, certains fournisseurs ont initialement qualifié de faille “informative”, réduisant sa portée.
Autrement dit : la fuite était reconnue, mais reléguée dans une zone grise jusqu’à ce que la pression médiatique et communautaire impose une réaction.

Risques systémiques & vecteurs d’exploitation

Le DOM-Based Extension Clickjacking n’est pas un bug isolé : c’est une faille systémique. Quand une extension cède, ce n’est pas seulement un mot de passe qui fuit — c’est tout un modèle de confiance numérique qui implose.

Scénarios critiques :

• Accès persistant — Un TOTP cloné suffit pour enregistrer un appareil “de confiance” et garder la main, même après réinitialisation du compte.
• Rejeu de passkeys — L’exfiltration d’une passkey équivaut à un jeton maître utilisable hors contrôle. Le Zero Trust devient un mythe.
• Compromission SSO — Une extension piégée en entreprise = fuite de tokens OAuth/SAML, compromettant l’ensemble du SI.
• Chaîne d’approvisionnement — Les extensions, mal régulées, deviennent une surface d’attaque structurelle pour les navigateurs.
• Crypto-assets — Les wallets (MetaMask, Phantom, TrustWallet) réutilisent le DOM pour injecter des clés : seed phrases et clés privées siphonnées comme de simples credentials.

Le clickjacking des extensions DOM démontre ainsi la fragilité des modèles de confiance numérique.

Extensions crypto-wallets exposées au clickjacking des extensions DOM

Les gestionnaires de mots de passe ne sont pas les seuls à tomber dans le piège du DOM-Based Extension Clickjacking.
Les wallets crypto les plus répandus — MetaMask, Phantom, TrustWallet — reposent sur le même principe d’injection DOM pour afficher ou signer des transactions. Résultat : un overlay bien placé, une iframe invisible, et l’utilisateur croit valider une opération légitime… alors qu’il signe en réalité un transfert malveillant ou qu’il révèle sa seed phrase.

Implication directe : contrairement aux credentials ou TOTP, les fuites ici concernent des actifs financiers immédiats. Des milliards de dollars de liquidités reposent sur ces extensions. Le DOM devient donc non seulement un risque d’identité, mais un vecteur d’exfiltration monétaire.

Sandbox navigateur faillible & attaques BITB

Les navigateurs présentent leur sandbox comme une forteresse, pourtant les attaques DOM-Based Extension Clickjacking et Browser-in-the-Browser (BITB) prouvent le contraire. Un simple overlay et un faux cadre d’authentification suffisent à piéger l’utilisateur et à lui faire croire qu’il échange avec Google, Microsoft ou sa banque, alors qu’il livre ses secrets à une page frauduleuse. Même frame-ancestors ou certaines politiques CSP ne parviennent pas à empêcher ces illusions d’interface.

C’est ici que les technologies souveraines changent l’équation. Avec EviBITB (IRDR), Freemindtronic intègre dans PassCypher HSM PGP un moteur de détection et destruction d’iframes de redirection, capable de neutraliser en temps réel les tentatives de BITB. Activable en un clic, utilisable en mode manual, semi-automatique ou automatique, il fonctionne sans serveur, sans base de données et agit instantanément. (explications · guide détaillé)

Mais la clef de voûte reste le sandbox URL. Chaque identifiant ou clé est lié à une URL de référence stockée dans le HSM chiffré. Lorsqu’une page tente un autofill, l’URL active est comparée à celle du HSM. Si elle ne correspond pas, aucune donnée n’est injectée. Ainsi, même si un iframe passait sous les radars, le sandbox URL bloque l’exfiltration.

Cette double barrière s’étend également aux usages sur ordinateur, grâce à l’appairage sécurisé NFC entre un smartphone Android NFC et l’application Freemindtronic intégrant PassCypher NFC HSM. Dans ce contexte, l’utilisateur bénéficie aussi de la protection anti-BITB (EviBITB) sur ordinateur : les secrets demeurent chiffrés dans le NFC HSM et ne sont déchiffrés que pendant quelques millisecondes en mémoire volatile (RAM), juste le temps nécessaire à l’auto-remplissage — sans jamais transiter ni résider dans le DOM.

Signaux stratégiques DEF CON 33

Dans les couloirs survoltés de DEF CON 33, ce ne sont pas seulement les badges qui clignotent : ce sont nos certitudes.
Entre une bière tiède et un CTF endiablé, les conversations convergent : le navigateur a cessé d’être une zone de confiance.

• Le DOM devient un champ de mines : il n’héberge plus seulement du XSS de bas étage, mais les clés d’identité elles-mêmes — gestionnaires, passkeys, wallets.
• La promesse « phishing-resistant » vacille : voir une passkey se faire phisher en live, c’est comme regarder Neo se faire planter par un script-kiddie.
• Lenteur industrielle : certains patchent en 48h, d’autres se perdent en comités et communiqués. Résultat : des millions d’utilisateurs restent à poil.
• Doctrine Zero Trust renforcée : tout secret qui effleure le DOM est à considérer comme déjà compromis.
• Retour du matos souverain : à force de voir le cloud s’effriter, les regards se tournent vers des solutions hors-DOM :PassCypher NFC HSM, PassCypher HSM PGP, SeedNFC pour la sauvegarde chiffrée des clés crypto. Zéro DOM, zéro illusion.

PassCypher HSM PGP — La technologie Zero DOM brevetée depuis 2015

Bien avant la révélation du DOM Extension Clickjacking à DEF CON 33, Freemindtronic avait fait un choix radical : ne jamais utiliser le DOM pour transporter des secrets. Dès 2015, cette approche Zero Trust s’est matérialisée dans une architecture Zero DOM brevetée (by design) : identifiants, TOTP/HOTP, mots de passe et clés (PGP/SSH/crypto) restent confinés dans un HSM matériel, jamais injectés dans un environnement manipulable.

🚀 Avantages clés

• Zero DOM natif — aucune donnée sensible ne transite par le navigateur.
• HSM PGP intégré — conteneurs AES-256 CBC + clés segmentées brevetées.
• Souverain & privé — sans serveur, sans base de données, sans cloud.

🛡️ Anti-BITB intégré (gratuit)

Depuis 2020, PassCypher HSM PGP inclut EviBITB, un moteur anti-Browser-in-the-Browser : destruction d’iframes malveillants, détection d’overlays, sans serveur, sans base de données, en temps réel, totalement anonyme. Guide d’activation détaillé : comment fonctionne EviBITB.

⚡ Mise en œuvre immédiate

Installez l’extension PassCypher HSM PGP, activez EviBITB dans les paramètres, et bénéficiez instantanément d’une protection souveraine Zero DOM :

• Edge Add-ons : télécharger
• Chrome Web Store : télécharger

Contre-mesures Zero DOM — sécurité matérielle hors navigateur

Les patchs correctifs des éditeurs rassurent sur le moment… mais ils ne changent rien au problème de fond : le DOM reste une passoire.
La seule parade durable, c’est de retirer les secrets de son emprise.
C’est ce que nous appelons le principe Zero DOM : aucune donnée sensible ne doit résider, transiter ou dépendre du navigateur.

Dans ce paradigme, les secrets (identifiants, TOTP, passkeys, clés privées) sont conservés dans des HSM matériels hors ligne.
L’accès n’est possible que par activation physique (NFC, HID, appairage sécurisé) et ne laisse qu’une empreinte éphémère en RAM.

Contrairement aux gestionnaires cloud ou aux passkeys FIDO, ces solutions ne patchent pas après coup : elles éliminent la surface d’attaque dès la conception. C’est le cœur de l’approche sovereign-by-design : architecture décentralisée, pas de serveur central, pas de base de données à siphonner.

PassCypher NFC HSM — architecture souveraine passwordless

Quand les gestionnaires logiciels se font piéger par un simple iframe, PassCypher NFC HSM trace une autre voie : vos identifiants, mots de passe, ne transitent jamais par le DOM.
Ils dorment chiffrés dans un nano-HSM hors ligne, et n’apparaissent qu’un instant en mémoire volatile — juste le temps strict nécessaire à l’authentification.

Fonctionnement côté utilisateur :

• Secrets intouchables — stockés et chiffrés dans le NFC HSM, jamais visibles ni extraits.
• TOTP/HOTP — générés et affichés à la demande via l’application Android PassCypher NFC HSM ou sur ordinateur via PassCypher HSM PGP.
• Saisie manuelle — l’utilisateur saisit son code PIN ou TOTP dans le champ prévu sur son ordinateur ou son téléphone Android NFC, visualisé dans l’application PassCypher (Freemindtronic), généré depuis le module NFC HSM. Même principe pour les autres secrets : identifiants, mots de passe, etc.
• Saisie automatique sans contact — aucune saisie clavier : l’utilisateur présente simplement le module NFC HSM PassCypher à son téléphone ou à son ordinateur. L’opération s’effectue sans contact, y compris lorsque l’application PassCypher NFC HSM est appairée avec PassCypher HSM PGP.
• Saisie automatique sur ordinateur — avec PassCypher HSM PGP sur Windows ou macOS, l’utilisateur clique sur un bouton intégré aux champs d’identification pour auto-remplir, avec validation automatique possible, le login, le mot de passe.
• Anti-BITB distribué — grâce à l’appairage sécurisé NFC ↔ Android ↔ navigateur (Win/Mac/Linux), les iframes malveillants sont neutralisés en temps réel (EviBITB).
• Mode HID BLE — injection directe hors DOM via un émulateur de clavier Bluetooth appairé à PassCypher NFC HSM, neutralisant à la fois les attaques DOM et les keyloggers.

PassCypher HSM PGP — Gestion souveraine des clés anti-phishing

Dans un monde où les gestionnaires classiques se font piller par un simple iframe fantôme, PassCypher HSM PGP refuse de plier.

Sa règle ? Zéro serveur, zéro base de données, zéro DOM.

Vos secrets — identifiants, mots de passe, passkeys, clés SSH/PGP, TOTP/HOTP — vivent dans des conteneurs chiffrés AES-256 CBC PGP, protégés par un système de clés segmentées brevetées conçu pour encaisser même l’ère quantique.

Pourquoi ça tient face aux attaques type DEF CON 33 ?

Parce qu’ici, rien ne transite par le DOM, aucun mot de passe maître n’existe donc à extraire, et surtout : les conteneurs demeurent en permanence chiffrés. Leur déchiffrement n’intervient qu’en mémoire volatile (RAM), le temps d’assembler les segments de clés requis. Une fois l’auto-remplissage accompli, tout disparaît instantanément, sans laisser la moindre trace exploitable.

Fonctionnalités clés :

• Auto-remplissage blindé — un clic suffit, mais via URL sandbox, jamais en clair dans le navigateur.
• EviBITB embarqué — destructeur d’iframes et d’overlays malveillants, activable en manuel, semi-auto ou full-auto, 100 % hors serveur.
• Outils crypto intégrés — génération et gestion de clés AES-256 segmentées et clés PGP sans dépendances externes.
• Compatibilité universelle — fonctionne avec tout site via un logiciel + extension navigateur — pas de mise à jour forcée, pas de plugin exotique.
• Architecture souveraine — sans serveur, sans base de données, sans mot de passe maître, 100 % anonymisée — inattaquable par design là où le cloud faiblit.

Scénarios d’exploitation du hameçonnage (phishing) des passkeys DOM

Les révélations du DEF CON 33 ne sont pas une fin de partie, mais un avertissement. Ce qui vient ensuite pourrait être encore plus corrosif :

• Phishing piloté par IA + détournement DOM — Demain, ce n’est plus un kit de phishing bricolé dans un garage, mais des LLM qui génèrent en temps réel des overlays DOM indétectables, capables de mimer n’importe quel portail bancaire ou cloud.
• Tapjacking mobile hybride — L’écran tactile devient un champ de mines : superposition d’apps, autorisations invisibles, et en arrière-plan vos gestuelles sont détournées pour valider des transactions ou exfiltrer des OTP.
• Post-quantum ready HSM —  La prochaine ligne de défense ne résidera pas dans un simple patch navigateur, mais dans des HSM résistants au calcul quantique, capables d’absorber les futures puissances de Shor ou de Grover. Des solutions comme PassCypher HSM PGP et SeedNFC en sécurité quantique incarnent déjà ce socle matériel zéro-DOM, conçu pour l’ère post-cloud.

Synthèse stratégique du clickjacking des extensions DOM

Le clickjacking des extensions DOM révèle une vérité crue : navigateurs, gestionnaires de mots de passe et extensions crypto ne sont pas des environnements de confiance.
Les patchs arrivent en ordre dispersé, l’exposition utilisateur se chiffre en dizaines de millions, et les cadres réglementaires courent toujours derrière la menace.
La seule sortie souveraine ? Une gouvernance stricte du logiciel, doublée d’une sauvegarde matérielle hors DOM (PassCypher NFC HSM / HSM PGP), où les secrets restent chiffrés, hors ligne, et intouchables par redressing.

La voie souveraine :

• Gouvernance stricte des logiciels et extensions
• Sécurité matérielle des identités (PassCypher NFC HSM / HSM PGP)
• Secrets chiffrés, hors DOM, hors cloud, redress-proof

En définitive, le clickjacking des extensions DOM oblige à une rupture : sortir les secrets du navigateur et du cloud.