Tag Archives: DOM Based Extension Clickjacking

En cybersécurité souveraine ↑ Cette chronique s’inscrit dans la rubrique Digital Security, dans la continuité des recherches menées sur les exploits et les contre-mesures matérielles zero trust.

Historique du Clickjacking (2002–2025)

Clickjacking, c’est un peu le parasite tenace du web moderne. Le terme apparaît au début des années 2000, quand Jeremiah Grossman et Robert Hansen décrivent un scénario sournois : pousser un internaute à cliquer sur quelque chose qu’il ne voit pas vraiment. Une illusion d’optique appliquée au code, vite devenue une technique d’attaque incontournable (OWASP).

• 2002–2008 : émergence du “UI redressing” : calques HTML + iframes transparentes piégeant l’utilisateur (Hansen Archive).
• 2009 : Facebook victime du Likejacking (OWASP).
• 2010 : apparition du Cursorjacking : décalage du pointeur pour tromper le clic (OWASP).
• 2012–2015 : exploitation via iframes, publicité et malvertising (MITRE CVE).
• 2016–2019 : le tapjacking sévit sur mobile (Android Security Bulletin).
• 2020–2024 : montée du “hybrid clickjacking” mêlant XSS et phishing (OWASP WSTG).
• 2025 : au DEF CON 33, Marek Tóth dévoile un nouveau palier : DOM-Based Extension Clickjacking (DEF CON Archive). Désormais, ce ne sont plus seulement les sites web, mais les extensions navigateur (gestionnaires de mots de passe, wallets) qui injectent les formulaires invisibles.

Aujourd’hui, l’histoire du clickjacking bascule : ce n’est plus une farce graphique, mais une faille structurelle des navigateurs et de leurs extensions. Les gestionnaires testés — 1Password, Bitwarden, iCloud Keychain, LastPass — apparaissent vulnérables (Bitwarden Release Notes).

DOM-Based Extension Clickjacking — Anatomie de l’attaque

Le DOM-Based Extension Clickjacking n’est pas une variante anodine : il détourne la logique même des gestionnaires d’autofill. Ici, l’attaquant ne se contente pas de recouvrir un bouton par une iframe ; il force l’extension à remplir un faux formulaire comme si de rien n’était.

Déroulé type d’une attaque :

1. Préparation — La page piégée embarque une iframe invisible et un Shadow DOM qui masque le véritable contexte.
2. Appât — L’utilisateur clique sur un élément anodin ; un focus() redirige l’événement vers le champ invisible contrôlé par l’attaquant.
3. Exfiltration — L’extension croit interagir avec un champ légitime et injecte identifiants, TOTP, passkeys, voire clés privées directement dans le faux DOM.

Cette mécanique brouille les signaux visuels, contourne les défenses classiques (X-Frame-Options, CSP, frame-ancestors) et transforme l’autofill en canal d’exfiltration invisible. Contrairement au clickjacking « traditionnel », l’utilisateur ne clique pas sur un site tiers : c’est son extension qui se fait piéger par sa propre confiance dans le DOM.

Gestionnaires de mots de passe vulnérables

Selon les tests menés par Marek Tóth au DEF CON 33, l’écrasante majorité des gestionnaires tombent sous le DOM-Based Extension Clickjacking.

Sur les 11 gestionnaires évalués,10 exposent des credentials,
9 des TOTP et 8 des passkeys.

En clair : même le coffre-fort logiciel le plus populaire peut se transformer en passoire dès qu’il délègue ses secrets au DOM.

• Encore vulnérables : 1Password, LastPass, iCloud, LogMeOnce
• Patchs publiés : Bitwarden, Dashlane, NordPass, ProtonPass, RoboForm
• Statut incertain : Keeper (partiellement corrigé, en cours de revue)

Tableau de statut (août 2025)

CVE Disclosure & réponses éditeurs

La découverte de Marek Tóth ne pouvait pas rester dans l’ombre : les vulnérabilités de type DOM-Based Extension Clickjacking sont en cours d’assignation de CVE. Mais comme souvent, le tempo officiel est lent : certaines failles sont déjà remontées depuis le printemps 2025, et à la mi-août, plusieurs éditeurs n’avaient toujours pas publié de correctif public.

Du côté des gestionnaires touchés, la partition est dissonante :

• Bitwarden a réagi rapidement en août 2025 avec un patch v2025.8.0.
• Dashlane, NordPass, ProtonPass et RoboForm ont suivi, avec des correctifs annoncés dans leurs notes de mise à jour officielles.
• 1Password, LastPass, Enpass, iCloud Passwords et LogMeOnce restent vulnérables au moment de l’écriture.
• Keeper a reconnu partiellement l’impact, mais sans patch disponible, se contentant d’un statut “Under review”.

Le problème ne se limite pas à la vitesse de patch. Comme l’a noté Socket Security, certains éditeurs ont classé la vulnérabilité comme “informative”, minimisant l’impact. Autrement dit : on reconnaît la fuite, mais on la range dans une boîte grise tant que la presse ne hurle pas trop fort.

Risques systémiques & vecteurs d’exploitation

Le DOM-Based Extension Clickjacking n’est pas un bug isolé : c’est une faille systémique. Quand une extension cède, ce n’est pas seulement un mot de passe qui fuit — c’est tout un modèle de confiance numérique qui implose.

Scénarios critiques :

• Accès persistant — Un TOTP cloné suffit pour enregistrer un appareil “de confiance” et garder la main, même après réinitialisation du compte.
• Rejeu de passkeys — L’exfiltration d’une passkey équivaut à un jeton maître utilisable hors contrôle. Le Zero Trust devient un mythe.
• Compromission SSO — Une extension piégée en entreprise = fuite de tokens OAuth/SAML, compromettant l’ensemble du SI.
• Chaîne d’approvisionnement — Les extensions, mal régulées, deviennent une surface d’attaque structurelle pour les navigateurs.
• Crypto-assets — Les wallets (MetaMask, Phantom, TrustWallet) réutilisent le DOM pour injecter des clés : seed phrases et clés privées siphonnées comme de simples credentials.

Extensions de portefeuilles crypto exposées

Les gestionnaires de mots de passe ne sont pas les seuls à tomber dans le piège du DOM-Based Extension Clickjacking.
Les wallets crypto les plus répandus — MetaMask, Phantom, TrustWallet — reposent sur le même principe d’injection DOM pour afficher ou signer des transactions. Résultat : un overlay bien placé, une iframe invisible, et l’utilisateur croit valider une opération légitime… alors qu’il signe en réalité un transfert malveillant ou qu’il révèle sa seed phrase.

Implication directe : contrairement aux credentials ou TOTP, les fuites ici concernent des actifs financiers immédiats. Des milliards de dollars de liquidités reposent sur ces extensions. Le DOM devient donc non seulement un risque d’identité, mais un vecteur d’exfiltration monétaire.

Sandbox faillible & Browser‑in‑the‑Browser (BitB)

Les navigateurs aiment présenter leur sandbox comme une citadelle. En pratique, le DOM‑Based Extension Clickjacking et les attaques Browser‑in‑the‑Browser (BitB) démontrent l’inverse : un simple overlay et un faux cadre d’authentification suffisent pour faire croire à l’utilisateur qu’il interagit avec Google, Microsoft ou sa banque, alors qu’il saisit ses secrets dans une page piégée. Même des mécanismes comme frame‑ancestors ou certaines politiques CSP n’empêchent pas ces illusions d’interface.

C’est précisément là que les technologies souveraines font la différence. Avec EviBitB, Freemindtronic intègre dans PassCypher HSM PGP un destructeur avancé d’iframes de redirection activable en un clic, qui fonctionne en mode manuel, semi‑automatique ou automatique. Le tout est sans serveur, sans base de données, et traite les pages 100 % en temps réel, en complément du système d’URL sandbox (guide détaillé / éviter le phishing par iframe).

En pratique, l’anti‑BitB peut aussi s’appliquer lors d’un usage desktop grâce à un appairage sécurisé NFC entre un smartphone Android et l’appli PassCypher NFC HSM. Ainsi, l’utilisateur qui emploie un NFC HSM sur ordinateur bénéficie également de l’anti‑BitB. Les secrets restent chiffrés dans le conteneur HSM PGP ou dans le NFC HSM et ne sont déchiffrés que le temps strict nécessaire à l’auto‑remplissage, en mémoire volatile (RAM).

Signaux stratégiques DEF CON 33

Dans les couloirs survoltés de DEF CON 33, ce ne sont pas seulement les badges qui clignotent : ce sont nos certitudes.
Entre une bière tiède et un CTF endiablé, les conversations convergent : le navigateur a cessé d’être une zone de confiance.

• Le DOM devient un champ de mines : il n’héberge plus seulement du XSS de bas étage, mais les clés d’identité elles-mêmes — gestionnaires, passkeys, wallets.
• La promesse « phishing-resistant » vacille : voir une passkey se faire phisher en live, c’est comme regarder Neo se faire planter par un script-kiddie.
• Lenteur industrielle : certains patchent en 48h, d’autres se perdent en comités et communiqués. Résultat : des millions d’utilisateurs restent à poil.
• Doctrine Zero Trust renforcée : tout secret qui effleure le DOM est à considérer comme déjà compromis.
• Retour du matos souverain : à force de voir le cloud s’effriter, les regards se tournent vers des solutions hors-DOM :
  PassCypher NFC HSM, PassCypher HSM PGP, SeedNFC pour la garde des clés crypto. Zéro DOM, zéro illusion.

Contre-mesures Souveraines (Zero DOM)

Les patchs correctifs des éditeurs rassurent sur le moment… mais ils ne changent rien au problème de fond : le DOM reste une passoire.
La seule parade durable, c’est de retirer les secrets de son emprise.
C’est ce que nous appelons le principe Zero DOM : aucune donnée sensible ne doit résider, transiter ou dépendre du navigateur.

Dans ce paradigme, les secrets (identifiants, TOTP, passkeys, clés privées) sont conservés dans des HSM matériels hors ligne.
L’accès n’est possible que par activation physique (NFC, HID, appairage sécurisé) et ne laisse qu’une empreinte éphémère en RAM.

Contrairement aux gestionnaires cloud ou aux passkeys FIDO, ces solutions ne patchent pas après coup : elles éliminent la surface d’attaque dès la conception.
C’est le cœur de l’approche sovereign-by-design : architecture décentralisée, pas de serveur central, pas de base de données à siphonner.

PassCypher NFC HSM — Garde d’identité matérielle

Quand les gestionnaires logiciels se font piéger par un simple iframe, PassCypher NFC HSM trace une autre route : vos identifiants, mots de passe, cartes bancaires, clés privées et codes TOTP/HOTP ne passent jamais par le DOM.
Ils dorment chiffrés dans un nano-HSM hors ligne, et n’apparaissent qu’un instant en mémoire volatile — le temps strict nécessaire à l’authentification.

Fonctionnement côté utilisateur :

• Secrets intouchables — stockés et chiffrés dans le NFC HSM, jamais visibles ni extraits.
• TOTP/HOTP — générés et affichés à la demande via l’appli Android PassCypher NFC HSM.
• Saisie manuelle — l’utilisateur entre son PIN ou login dans le champ prévu, sur mobile ou desktop.
• Anti-BitB distribué — via appairage sécurisé NFC ↔ Android ↔ navigateur (Win/Mac/Linux), les iframes malveillants sont détruits en temps réel (EviBitB).
• Mode HID BLE — injection directe hors DOM, qui neutralise aussi les keyloggers.

PassCypher HSM PGP — Gestion souveraine des clés

Dans un monde où les gestionnaires classiques se font plier par un simple iframe fantôme, PassCypher HSM PGP refuse la partie.

Sa règle ? zéro serveur, zéro base de données, zéro DOM.

Vos secrets — identifiants, mots de passe, passkeys, clés SSH/PGP, TOTP/HOTP — vivent dans des conteneurs chiffrés AES-256 CBC PGP, protégés par un système de clés segmentées brevetées conçu pour encaisser même l’ère quantique.

Pourquoi ça tient face aux attaques type DEF CON 33 ?

Parce qu’ici, rien ne traîne dans le DOM, aucun master password n’est détournable, et surtout : les conteneurs restent toujours chiffrés. Leur déchiffrement n’intervient qu’en mémoire volatile RAM, le temps d’assembler les segments de clés nécessaires. Une fois l’auto-remplissage effectué, tout disparaît sans laisser de trace exploitable.

Fonctionnalités clés :

• Auto-remplissage blindé : un clic suffit, mais via URL sandbox, jamais en clair dans le navigateur.
• EviBitB embarqué : un destructeur d’iframes et d’overlays malveillants, activable en manuel, semi-auto ou full-auto, 100 % hors serveur.
• Outils crypto intégrés : génération et gestion de clés AES-256 segmentées et clés PGP sans dépendances externes.
• Compatibilité universelle : fonctionne avec tout site via un logiciel + extension navigateur — pas de mise à jour forcée, pas de plugin exotique.
• Architecture souveraine : sans serveur, sans base de données, sans mot de passe maître, 100 % anonymisée — inattaquable par design là où le cloud faiblit.

Résultat : là où un gestionnaire classique se fait siphonner par un overlay ou un Browser-in-the-Browser, PassCypher HSM PGP reste hermétique.
Pas de coffre ouvert en clair, pas de DOM à piéger : juste une garde matérielle souveraine qui démonte phishing, keylogging et clickjacking.