Tag Archives: SeedNFC HSM

DOM Extension Clickjacking — Risks, DEF CON 33 & Zero-DOM fixes

Movie poster style illustration of DOM extension clickjacking unveiled at DEF CON 33, showing hidden iframes, Shadow DOM hijack, and sovereign Zero-DOM countermeasures

DOM extension clickjacking — a technical chronicle of DEF CON 33 demonstrations, their impact, and Zero-DOM countermeasures. See the Executive Summary below for a 4-minute overview.

Executive Summary — DOM Extension Clickjacking

Snapshot (17 Sep 2025):At DEF CON 33, live demos showed DOM-based extension clickjacking and overlay attacks that can exfiltrate credentials, TOTP codes, synced passkeys and crypto keys from browser extensions and wallets. Initial testing reported ~40M exposed installations. Several vendors published mitigations in Aug–Sep 2025 (e.g. Bitwarden, Dashlane, Enpass, NordPass, ProtonPass, RoboForm); others remained reported vulnerable (1Password, LastPass, iCloud Passwords, KeePassXC-Browser). See the status table for per-product details.

Impact: systemic — secrets that touch the DOM can be covertly exfiltrated; overlays (BITB) make synced passkeys phishable. Recommended mitigation: move to Zero-DOM hardware flows (HSM/NFC) or adopt structural injection re-engineering. See §Sovereign Countermeasures for options.

⚡ The Discovery

Las Vegas, early August 2025. DEF CON 33 takes over the Las Vegas Convention Center. Between hacker domes, IoT villages, Adversary Village, and CTF competitions, the atmosphere turns electric. On stage, Marek Tóth simply plugs in his laptop, launches the demo, and presses Enter.
Immediately, the star attack emerges: DOM extension clickjacking. Easy to code yet devastating to execute, it relies on a booby-trapped page, invisible iframes, and a malicious focus() call. These elements trick autofill managers into pouring credentials, TOTP codes, and passkeys into a phantom form. As a result, DOM-based extension clickjacking surfaces as a structural threat.

⧉ Second Demo — Phishable Passkeys (overlay)

At DEF CON 33, Allthenticate showed that synced passkeys can also be phished through simple overlay and redirection — no DOM injection required.
We cover the full implications in the dedicated section Phishable Passkeys and in attribution & sources. Also worth noting: DEF CON 33 and Black Hat 2025 highlighted another critical demonstration — BitUnlocker — targeting BitLocker via WinRE (see here)

⚠ Strategic Message — Systemic Risks

With just two demos — one targeting password managers and wallets, the other aimed directly at passkeys — two pillars of cybersecurity collapsed. The message is clear: as long as secrets reside in the DOM, they remain vulnerable. Moreover, as long as cybersecurity depends on the browser and the cloud, a single click can overturn everything. As OWASP reminds us, clickjacking has always been a well-known threat. Yet here, the extension layer itself collapses.

⎔ The Sovereign Alternative — Zero-DOM Countermeasures

Fortunately, another way has existed for more than a decade — one that does not rely on the DOM.
With PassCypher HSM PGP, PassCypher NFC HSM, and SeedNFC for hardware backup of cryptographic keys, your credentials, passwords, and TOTP/HOTP secrets never touch the DOM. Instead, they remain encrypted in offline HSMs, securely injected via URL sandboxing or manually entered through the Android NFC application, and always protected by anti-BITB safeguards.
Therefore, this is not a patch, but a patented sovereign passwordless architecture: decentralized, with no server, no central database, and no master password. It frees secret management from centralized dependencies such as FIDO/WebAuthn.

Chronicle to Read
Estimated reading time: 37–39 minutes
Date updated: 2025-10-02
Complexity level: Advanced / Expert
Linguistic specificity: Sovereign lexicon — high technical density
Available languages: CAT ·EN ·ES ·FR
Accessibility: Screen-reader optimized — semantic anchors included
Editorial type: Strategic Chronicle
About the author: Jacques Gascuel, inventor and founder of Freemindtronic®.
As a specialist in sovereign security technologies, he designs and patents hardware systems for data protection, cryptographic sovereignty, and secure communications. His expertise also includes compliance with ANSSI, NIS2, GDPR, and SecNumCloud frameworks, as well as defense against hybrid threats via sovereign-by-design architectures.

Key takeaways —

  • DOM injection by extensions enables stealth exfiltration (credentials, TOTP, passkeys, keys).
  • Some vendors released mitigations (Aug–Sep 2025); structural fixes are rare.
  • Long term: adopt Zero-DOM hardware flows or re-engineer injection logic.

Anatomy of DOM extension clickjacking: a malicious page, hidden iframe, and autofill hijack exfiltrating credentials, passkeys, and crypto-wallet keys.

Anatomy of DOM extension clickjacking attack with hidden iframe, Shadow DOM and stealth credential exfiltration
Anatomy of DOM extension clickjacking: a malicious page, hidden iframe and autofill hijack exfiltrating credentials, passkeys and crypto-wallet keys.

2021 Digital Security EviPass NFC HSM technology Technical News

766 trillion years to find 20-character code like a randomly generated password

2025 Digital Security Technical News

Quantum computer 6100 qubits ⮞ Historic 2025 breakthrough

2025 Digital Security Technical News

Ordinateur quantique 6100 qubits ⮞ La percée historique 2025

2025 Cyberculture Digital Security

Authentification multifacteur : anatomie, OTP, risques

2023 Digital Security

WhatsApp Hacking: Prevention and Solutions

2025 Digital Security

Email Metadata Privacy: EU Laws & DataShielder

2025 Digital Security

Chrome V8 confusió RCE — Actualitza i postura Zero-DOM

2025 Digital Security

Chrome V8 confusion RCE — Your browser was already spying

2024 Cyberculture Digital Security

Russian Cyberattack Microsoft: An Unprecedented Threat

2025 Digital Security

Chrome V8 Zero-Day: CVE-2025-6554 Actively Exploited

2025 Digital Security

APT29 Exploits App Passwords to Bypass 2FA

2025 Digital Security

Signal Clone Breached: Critical Flaws in TeleMessage

2025 Digital Security

APT29 Spear-Phishing Europe: Stealthy Russian Espionage

2024 Digital Security

Why Encrypt SMS? FBI and CISA Recommendations

2025 Digital Security

APT44 QR Code Phishing: New Cyber Espionage Tactics

2024 Digital Security

BitLocker Security: Safeguarding Against Cyberattacks

2024 Digital Security

French Minister Phone Hack: Jean-Noël Barrot’s G7 Breach

2024 Digital Security

Cyberattack Exploits Backdoors: What You Need to Know

2021 Cyberculture Digital Security Phishing

Phishing Cyber victims caught between the hammer and the anvil

2024 Digital Security

Google Sheets Malware: The Voldemort Threat

2024 Articles Digital Security News

Russian Espionage Hacking Tools Revealed

2024 Digital Security Spying Technical News

Side-Channel Attacks via HDMI and AI: An Emerging Threat

2024 Digital Security Technical News

Apple M chip vulnerability: A Breach in Data Security

Digital Security Technical News

Brute Force Attacks: What They Are and How to Protect Yourself

2023 Digital Security

Predator Files: The Spyware Scandal That Shook the World

2023 Digital Security Phishing

BITB Attacks: How to Avoid Phishing by iFrame

2023 Digital Security

5Ghoul: 5G NR Attacks on Mobile Devices

2024 Digital Security

Europol Data Breach: A Detailed Analysis

Digital Security EviToken Technology Technical News

EviCore NFC HSM Credit Cards Manager | Secure Your Standard and Contactless Credit Cards

2024 Cyberculture Digital Security News Training

Andorra National Cyberattack Simulation: A Global First in Cyber Defense

Articles Digital Security EviVault Technology NFC HSM technology Technical News

EviVault NFC HSM vs Flipper Zero: The duel of an NFC HSM and a Pentester

Articles Cryptocurrency Digital Security Technical News

Securing IEO STO ICO IDO and INO: The Challenges and Solutions

Articles Cyberculture Digital Security Technical News

Protect Meta Account Identity Theft with EviPass and EviOTP

2024 Digital Security

Cybersecurity Breach at IMF: A Detailed Investigation

2023 Articles Cyberculture Digital Security Technical News

Strong Passwords in the Quantum Computing Era

2024 Digital Security

PrintListener: How to Betray Fingerprints

2024 Articles Digital Security News Spying

How to protect yourself from stalkerware on any phone

2023 Articles DataShielder Digital Security Military spying News NFC HSM technology Spying

Pegasus: The cost of spying with one of the most powerful spyware in the world

2024 Digital Security Spying

Ivanti Zero-Day Flaws: Comprehensive Guide to Secure Your Systems Now

2024 Articles Compagny spying Digital Security Industrial spying Military spying News Spying Zero trust

KingsPawn A Spyware Targeting Civil Society

2024 Articles Digital Security EviKey NFC HSM EviPass News SSH

Terrapin attack: How to Protect Yourself from this New Threat to SSH Security

Articles Crypto Currency Cryptocurrency Digital Security EviPass Technology NFC HSM technology Phishing

Ledger Security Breaches from 2017 to 2023: How to Protect Yourself from Hackers

2024 Articles Digital Security News Phishing

Google OAuth2 security flaw: How to Protect Yourself from Hackers

Articles Digital Security EviCore NFC HSM Technology EviPass NFC HSM technology NFC HSM technology

TETRA Security Vulnerabilities: How to Protect Critical Infrastructures

2023 Articles DataShielder Digital Security EviCore NFC HSM Technology EviCypher NFC HSM EviCypher Technology NFC HSM technology

FormBook Malware: How to Protect Your Gmail and Other Data

Articles Digital Security

Chinese hackers Cisco routers: how to protect yourself?

Articles Crypto Currency Digital Security EviSeed EviVault Technology News

Enhancing Crypto Wallet Security: How EviSeed and EviVault Could Have Prevented the $41M Crypto Heist

Articles Digital Security News

How to Recover and Protect Your SMS on Android

Articles Crypto Currency Digital Security News

Coinbase blockchain hack: How It Happened and How to Avoid It

Articles Compagny spying Digital Security Industrial spying Military spying Spying

Protect yourself from Pegasus spyware with EviCypher NFC HSM

Articles Digital Security EviCypher Technology

Protect US emails from Chinese hackers with EviCypher NFC HSM?

Articles Digital Security

What is Juice Jacking and How to Avoid It?

2023 Articles Cryptocurrency Digital Security NFC HSM technology Technologies

How BIP39 helps you create and restore your Bitcoin wallets

Articles Digital Security Phishing

Snake Malware: The Russian Spy Tool

Articles Cryptocurrency Digital Security Phishing

ViperSoftX How to avoid the malware that steals your passwords

Articles Digital Security Phishing

Kevin Mitnick’s Password Hacking with Hashtopolis

In sovereign cybersecurity This chronicle is part of the Digital Security section, continuing our research into exploits, systemic vulnerabilities, and hardware-based zero trust countermeasures.

☰ Quick navigation

[/ux_text]

🚨 DEF CON 33 — Key points

  • Two live demos: DOM extension clickjacking (password managers/wallets) and phishable synced passkeys (overlay attacks).
  • ~11 managers tested; initial impact estimated at ~40M exposed installations.
  • Mitigation direction: fast UI/conditional fixes vs. rare structural Zero-DOM solutions.
  • See the status table and §Sovereign Countermeasures for details.

What is DOM-based extension clickjacking?

DOM-based extension clickjacking hijacks a browser extension (password manager or crypto wallet) by abusing the browser’s Document Object Model. A deceptive page chains invisible iframes, Shadow DOM and a malicious focus() call to trigger autofill into an invisible form. The extension “believes” it is interacting with a legitimate field and pours secrets there — credentials, TOTP/HOTP codes, passkeys, even private keys. Because these secrets touch the DOM, they can be exfiltrated silently.

⮞ Doctrinal insight: DOM-based extension clickjacking is not an isolated bug — it is a design flaw. Any extension that injects secrets into a manipulable DOM is inherently vulnerable. Only Zero-DOM architectures (structural separation, HSM/NFC, out-of-browser injection) remove this attack surface.

How dangerous is it?

This vector is far from minor: it exploits the autofill logic itself and operates without user awareness. The attacker does not merely overlay an element; they force the extension to fill a fake form as if nothing were wrong, making exfiltration undetectable by superficial inspection.

Typical attack flow

  1. Preparation — the malicious page embeds an iframe that is invisible and a Shadow DOM that masks the real context; inputs are rendered non-visible (opacity:0, pointer-events:none).
  2. Bait — the victim clicks a benign element; redirections and a malicious focus() redirect the event to an attacker-controlled input.
  3. Exfiltration — the extension believes it is interacting with a legitimate field and automatically injects credentials, TOTP, passkeys or private keys into the fake DOM; the data is immediately exfiltrated.

This mechanism spoofs visual cues, bypasses classic protections (X-Frame-Options, Content-Security-Policy, frame-ancestors) and turns autofill into an invisible data-exfiltration channel. Browser-in-the-Browser (BITB) overlays and Shadow DOM manipulation further increase the risk, making synced passkeys and credentials phishable.

⮞ Summary

The attack combines invisible iframes, Shadow DOM manipulation and focus() redirections to hijack autofill extensions. Secrets are injected into a phantom form, giving the attacker direct access to sensitive data (credentials, TOTP/HOTP, passkeys, private keys). Bottom line: as long as secrets transit the DOM, the attack surface remains open.

History of Clickjacking (2002–2025)

Clickjacking has become the persistent parasite of the modern web. The term emerged in the early 2000s, when Jeremiah Grossman and Robert Hansen described a deceptive scenario: tricking a user into clicking on something they cannot actually see. An optical illusion applied to code, it quickly became a mainstream attack technique (OWASP).

  • 2002–2008: Emergence of “UI redressing”: HTML layers + transparent iframes trapping users (Hansen Archive).
  • 2009: Facebook falls victim to Likejacking (OWASP).
  • 2010: Cursorjacking emerges — shifting the pointer to mislead user clicks (OWASP).
  • 2012–2015: Exploitation via iframes, online ads, and malvertising (MITRE CVE) (Infosec).
  • 2016–2019: Tapjacking spreads on mobile platforms (Android Security Bulletin).
  • 2020–2024: Rise of “hybrid clickjacking” combining XSS and phishing (OWASP WSTG).
  • 2025: At DEF CON 33, Marek Tóth unveils a new level: DOM-Based Extension Clickjacking. This time, not only websites, but browser extensions (password managers, crypto wallets) inject invisible forms, enabling stealth exfiltration of secrets.

At DEF CON 33, Marek Tóth publicly revealed DOM extension clickjacking, marking a structural shift from visual trickery to systemic weakness in password managers and crypto wallets.

❓How long have you been exposed?

Clickjacking and invisible iframes have been known for years; Shadow DOM usage is not new. The DEF CON 33 findings reveal a decade-old design pattern: extensions that trust the DOM for secret injection are inherently exposed.

Synthesis:
In just 20 years, clickjacking evolved from a simple visual trick into a systemic sabotage of identity managers. DEF CON 33 marks a breaking point: the threat is no longer just malicious websites, but the very core of browser extensions and autofill. Hence the urgency of Zero-DOM approaches anchored in sovereign hardware like PassCypher.

Vulnerable Password Managers & CVE disclosure (snapshot — 2 Oct 2025)

Updated: 2 October 2025
Following Marek Tóth’s disclosure at DEF CON 33, several vendors have issued patches or mitigations, but response times vary widely. The new column indicates the estimated time between the presentation (8 August 2025) and the release of a patch/mitigation.

Manager Credentials TOTP Passkeys Status Official patch / note ⏱️ Patch delay
1Password Yes Yes Yes Mitigations (v8.11.x) Blog 🟠 >6 weeks (mitigation)
Bitwarden Yes Yes Partial Patched (v2025.8.2) Release 🟢 ~4 weeks
Dashlane Yes Yes Yes Patched Advisory 🟢 ~3 weeks
LastPass Yes Yes Yes Patched (Sep 2025) Release 🟠 ~6 weeks
Enpass Yes Yes Yes Patched (v6.11.6) Release 🟠 ~5 weeks
iCloud Passwords Yes No Yes Vulnerable (under review) 🔴 >7 weeks (no patch)
LogMeOnce Yes No Yes Patched (v7.12.7) Release 🟢 ~4 weeks
NordPass Yes Yes Partial Patched (mitigations) Release 🟠 ~5 weeks
ProtonPass Yes Yes Partial Patched (mitigations) Releases 🟠 ~5 weeks
RoboForm Yes Yes Yes Patched Update 🟢 ~4 weeks
Keeper Partial No No Partial patch (v17.2.0) Release 🟠 ~6 weeks (partial)

⮞ Key insight:

Even after patches, the problem remains architectural: as long as secrets transit the DOM, they remain exposed.
Zero-DOM solutions (PassCypher HSM PGP, PassCypher NFC HSM, SeedNFC) eliminate the attack surface by ensuring secrets never leave their encrypted container.
Zero-DOM = zero attack surface.

Note: snapshot as of 2 October 2025. For per-product versions, release notes and CVE identifiers, see the table and vendors’ official advisories.

Technologies of Correction Used

Since the public disclosure of DOM Extension Clickjacking at DEF CON 33, vendors have rushed to release patches. Yet these fixes remain uneven, mostly limited to UI adjustments or conditional checks. No vendor has yet re-engineered the injection engine itself.

Before diving into the correction methods, here’s a visual overview of the main technologies vendors have deployed to mitigate DOM Extension Clickjacking. This image outlines the spectrum from cosmetic patches to sovereign Zero-DOM solutions.

Infographic showing five correction methods against DOM Extension Clickjacking: autofill restriction, subdomain filtering, Shadow DOM detection, contextual isolation, and Zero-DOM hardware
Five vendor responses to DOM Extension Clickjacking: from UI patches to sovereign Zero-DOM hardware.

Objective

This section explains how vendors attempted to fix the flaw, distinguishes cosmetic patches from structural corrections, and highlights sovereign Zero-DOM hardware approaches.

Correction Methods Observed (as of August 2025)

Method Description Affected Managers
Autofill Restriction Switch to “on-click” mode or default deactivation Bitwarden, Dashlane, Keeper
Subdomain Filtering Blocking autofill on non-authorized subdomains ProtonPass, RoboForm
Shadow DOM Detection Refusal to inject if the field is encapsulated inside Shadow DOM NordPass, Enpass
Contextual Isolation Checks before injection (iframe, opacity, focus) Bitwarden, ProtonPass
Hardware Sovereign (Zero DOM) Secrets never transit through the DOM: NFC HSM, HSM PGP, SeedNFC PassCypher, EviKey, SeedNFC (non-vulnerable by design)

📉 Limits Observed

  • Patches did not change the injection engine, only its activation triggers.
  • No vendor introduced a structural separation between UI and secret flows.
  • Any manager still tied to the DOM remains structurally exposed to clickjacking variants.
⮞ Strategic Transition
These patches show reaction, not rupture. They address symptoms, not the structural flaw.
To understand what separates a temporary patch from a doctrinal fix, let’s move to the next analysis.

Correction Technologies Against DOM Extension Clickjacking — Technical & Doctrinal Analysis

DOM extension clickjacking is a structural design flaw: secrets injected into a manipulable DOM can be hijacked unless the injection flow is architecturally separated from the browser.

What Current Fixes Do Not Address

  • No vendor has rebuilt its injection engine.
  • Fixes mostly limit activation (disable autofill, subdomain filters, detect some invisible elements) rather than change the injection model.

What a Structural Fix Would Require

  • Remove dependency on the DOM for secret injection.
  • Isolate the injection engine outside the browser (hardware or separate secure process).
  • Use hardware authentication (NFC, PGP, secure enclave) and require explicit physical/user validation.
  • Forbid interaction with invisible or encapsulated elements by design.

Typology of Fixes

Level Correction Type Description
Cosmetic UI/UX, autofill disabled by default No change to injection logic, only its trigger
Contextual DOM filtering, Shadow DOM, subdomains Adds conditions, but still relies on the DOM
Structural Zero DOM, hardware-based (PGP, NFC, HSM) Eliminates DOM use for secrets, separates UI and secret flows

Doctrinal Tests to Verify Patches

To check whether a vendor’s fix is structural, researchers can:

  • Inject an invisible field (opacity:0) inside an iframe and verify injection behavior.
  • Check whether extensions still inject secrets into encapsulated or non-visible inputs.
  • Verify whether autofill actions are auditable or blocked when context mismatches occur.

There is currently no widely adopted industry standard (NIST/OWASP/ISO) governing extension injection logic, separation of UI and secret flows, or traceability of autofill actions.

⮞ Conclusion
Current fixes are largely stopgaps. The durable solution is architectural: remove secrets from the DOM using Zero-DOM patterns and hardware-backed isolation (HSM/NFC/PGP), rather than piling UI patches on top of a flawed injection model.

Systemic Risks & Exploitation Vectors

DOM extension clickjacking is not an isolated bug but a systemic design flaw. When an extension’s injection flow is compromised, the impact goes well beyond a single leaked password: it can cascade through authentication layers and core infrastructure.

Critical scenarios

  • Persistent access — cloned TOTP or recovered session tokens can re-register “trusted” devices and preserve access after resets.
  • Passkey replay — an exfiltrated passkey can act as a reusable master token outside normal control boundaries.
  • SSO compromise — leaked OAuth/SAML tokens from an enterprise extension can expose entire IT systems.
  • Supply-chain exposure — weak or malicious extensions create a structural browser-level attack surface.
  • Crypto-asset theft — wallet extensions that rely on DOM injection can leak seed phrases, private keys, or sign malicious transactions.

⮞ Summary

The consequences reach far beyond credential theft: cloned TOTPs, replayed passkeys, compromised SSO tokens and exfiltrated seed phrases are all realistic outcomes. As long as secrets transit the DOM, they remain an exfiltration vector.

Sovereign threat comparison

Attack Target Secrets Sovereign countermeasure
ToolShell RCE SharePoint / OAuth SSL certs, SSO tokens Hardware-backed storage & signing (HSM/PGP)
eSIM hijack Mobile identity Carrier profiles Hardware anchoring (SeedNFC)
DOM clickjacking Browser extensions Credentials, TOTP, passkeys Zero-DOM + HSM / sandboxed autofill
Crypto-wallet hijack Wallet extensions Private keys, seed phrases HID/NFC injection from HSM (no DOM, no clipboard)
Atomic Stealer macOS clipboard PGP keys, wallet data Encrypted channels + HSM input (no clipboard)

Regional Exposure & Linguistic Impact — Anglophone World

Region Estimated Anglophone Users Password-Manager Adoption Sovereign Zero-DOM Countermeasures
Global English-speakers ≈1.5 billion users Strong (North America, UK, Australia) PassCypher HSM PGP, SeedNFC
North America (USA + Canada Anglophone) ≈94 million users (36 % of US adults) Growing awareness; still low uptake PassCypher HSM PGP, NFC HSM
United Kingdom High internet and crypto-wallet penetration Maturing adoption; rising regulations PassCypher HSM PGP, EviBITB

Strategic insight: the Anglophone sphere represents a large exposure surface; prioritize Zero-DOM, hardware-anchored mitigations in regional roadmaps. Sources: ICLS, Security.org, DataReportal.

Exposed Crypto Wallet Extensions

Crypto wallet extensions (MetaMask, Phantom, TrustWallet) often rely on DOM interactions; overlays or invisible iframes can trick users into signing malicious transactions or exposing seed phrases. See §Sovereign Countermeasures for hardware mitigations.

SeedNFC HSM — hardware mitigation (concise)

Sovereign countermeasure: SeedNFC HSM provides hardware-backed storage for private keys and seed phrases kept outside the DOM. Injection is performed via secure NFC↔HID BLE channels and requires a physical user trigger, preventing DOM redressing and overlay-based signing attacks. See the full SeedNFC technical subsection for implementation details and usage flows.

[/ux_text] [/col] [/row]

Fallible Sandbox & Browser-in-the-Browser (BITB)

Browsers present their sandbox as a strong boundary — but DOM extension clickjacking and Browser-in-the-Browser (BITB) attacks show that UI-level illusions can still deceive users. A fake authentication frame or overlay can impersonate a trusted provider (Google, Microsoft, banks) and cause users to approve actions that release secrets or sign transactions. Standard directives such as frame-ancestors or some CSP rules do not necessarily block these interface forgeries.

Sandbox URL mechanism (technical): a robust Zero-DOM approach binds each credential or cryptographic reference to an expected URL (the “sandbox URL”) stored inside an encrypted HSM. Before any autofill or signing operation, the active page URL is compared to the HSM reference. If the URLs do not match, the secret is not released. This URL-level validation prevents exfiltration even when overlays or hidden frames evade visual detection.

Anti-iframe detection & mitigation (technical): real-time defenses inspect and neutralize suspicious iframe/overlay patterns (e.g., invisible elements, nested Shadow DOM, anomalous focus() sequences, unexpected pointer-events overrides). Detection heuristics include opacity, stacking context, focus redirections, and iframe ancestry checks; mitigation can remove or isolate the forged UI before any user interaction is processed.

For desktop flows, secure pairing between an Android NFC device and an HSM-enabled application allows secrets to be decrypted only in volatile RAM for a fraction of a second and injected outside the browser DOM, reducing persistence and exposure on the host system.

⮞ Technical Summary (attack defeated by sandbox URL + iframe neutralization)

The DOM extension clickjacking chain typically uses invisible CSS overlays (opacity:0, pointer-events:none), embedded iframes and encapsulated Shadow DOM nodes. By chaining focus() calls and cursor tracking, an extension may be tricked into autofilling credentials or signing transactions into attacker-controlled fields that are immediately exfiltrated. URL-based sandboxing plus real-time iframe neutralization closes this vector.

DOM extension clickjacking and Browser-in-the-Browser protection with EviBITB and Sandbox URL inside PassCypher HSM PGP / NFC HSM

✪ Illustration – Sandbox URL and iframe-neutralization protect credentials from clickjacking-trapped login forms.

⮞ Practical referenceFor a practical Zero-DOM implementation and product-level details (antiframe tooling, HSM URL binding and desktop pairing), see §PassCypher HSM PGP and §Sovereign Countermeasures.

BitUnlocker — Attaque sur BitLocker via WinRE

At DEF CON 33 and Black Hat USA 2025, the research team STORM presented a critical attack against BitLocker called BitUnlocker. This technique bypasses BitLocker protections by exploiting logical weaknesses in the Windows Recovery Environment (WinRE).

Attack vectors

  • boot.sdi parsing — manipulation of the boot loading process
  • ReAgent.xml — modification of the recovery configuration file
  • Tampered BCD — exploitation of Boot Configuration Data settings

Methodology

The researchers targeted the boot chain and its recovery components to:

  • Identify logical vulnerabilities in WinRE;
  • Develop exploits capable of exfiltrating BitLocker secrets;
  • Propose countermeasures to reinforce BitLocker and WinRE security.

Strategic impact

This attack demonstrates that even encryption systems considered robust can be undermined via indirect vectors — in this case, the Windows recovery chain. It highlights the need for a defense-in-depth approach that protects not only cryptographic primitives but also the integrity of boot and recovery environments.

Phishable Passkeys — Overlay Attacks at DEF CON 33

At DEF CON 33, an independent demonstration showed that synced passkeys — often presented as “phishing-resistant” — can be silently exfiltrated using a simple overlay + redirect. Unlike DOM extension clickjacking, this vector requires no DOM injection: it abuses UI trust and browser-rendered frames to trick users and harvest synced credentials.

How the overlay attack works (summary)

  • Overlay / redirect: a fake authentication frame or overlay is shown that mimics a platform login.
  • Browser trust abused: the UI appears legitimate, so users approve actions or prompts that release synced passkeys.
  • Synced export: once the attacker gains access to the password manager, synced passkeys and credentials can be exported and reused.

Synced vs device-bound — core difference

  • Synced passkeys: stored and replicated via cloud/password-manager infrastructure — convenient but a single point of failure and phishable by UI-forgery attacks.
  • Device-bound passkeys: stored in a device secure element (hardware) and never leave the device — not subject to cloud-sync export, therefore far more resistant to overlay phishing.

Proofs & evidence

Strategic takeaway: overlay-based UI forgery proves that “phishing-resistance” depends on storage and trust model. Where passkeys are synced via cloud/password-managers they are phishable; device-bound credentials (secure element / hardware keys) remain the robust alternative. This reinforces the Zero-DOM + sovereign hardware doctrine.

Phishable Passkeys @ DEF CON 33 — Attribution & Technical Note

Principal Researcher: Dr. Chad Spensky (Allthenticate)

Technical Co-authors: Shourya Pratap Singh, Daniel Seetoh, Jonathan (Jonny) Lin — Passkeys Pwned: Turning WebAuthn Against Itself (DEF CON 33)

Contributors acknowledged: Shortman, Masrt, sails, commandz, thelatesthuman, malarum (intro slide)

References:

Key takeaway: overlay-based UI forgery can exfiltrate synced passkeys without touching the DOM. This reinforces our doctrine: Zero-DOM + sovereign out-of-browser validation.

Strategic Signals from DEF CON 33

DEF CON 33 crystallised a shift in assumptions about browser security. Key takeaways below are concise and action-oriented.

  • Browsers are unreliable trust zones. The DOM should not be treated as a safe place for secrets.
  • Synced passkeys & DOM-injected secrets are phishable. UI-forgery and overlay techniques can defeat cloud-synced credentials.
  • Vendor responses vary; structural fixes are rare. Quick UI patches help, but few vendors have adopted architectural changes.
  • Prioritise hardware Zero-DOM approaches. Offline, hardware-anchored flows reduce exposure and belong in security roadmaps.

Summary

Rather than relying on cosmetic fixes, organisations should plan for doctrinal changes: treat any secret that touches the DOM as suspect and accelerate adoption of hardware-backed, Zero-DOM mitigations in product and policy roadmaps.

Sovereign Countermeasures (Zero DOM)

Vendor patches can reduce immediate risk but do not remove the root cause: secrets flowing through the DOM. Zero DOM means secrets should never reside in, transit through, or depend on the browser. The durable defence is architectural — keep credentials, TOTP, passkeys and private keys inside offline hardware and only expose them briefly in volatile memory when explicitly activated.

Zero DOM countermeasures flow — credentials, passkeys and crypto keys blocked from DOM exfiltration, secured by HSM PGP and NFC HSM sandbox URL injection

✪ Illustration — Zero DOM Flow: secrets remain inside the HSM, injected via HID into ephemeral RAM, making DOM exfiltration impossible.

In a Zero-DOM design, secrets are stored in offline HSMs and released only after an explicit physical action (NFC tap, HID pairing, local confirmation). Decryption happens in volatile RAM for the minimal time required to fill a field; nothing persists in the DOM or on disk.

Sovereign operation: NFC HSM, HID-BLE and HSM-PGP

NFC HSM ↔ Android ↔ Browser: the user physically presents the NFC HSM to an NFC-enabled Android device. The companion app verifies the request from the host, activates the module, and transmits the encrypted secret contactlessly to the host. Decryption occurs only in volatile RAM; the browser never holds the secret in clear.

NFC HSM ↔ HID-BLE: when paired with a Bluetooth HID emulator, the system types credentials straight into the target field over an AES-128-CBC encrypted BLE channel, avoiding clipboard, keyboard logging, and DOM exposure.

Local HSM-PGP activation: on desktop, a PassCypher-style HSM-PGP container decrypts locally (AES-256-CBC PGP) into RAM on a single user action. The secret is injected without traversing the DOM and is erased immediately after use.

This architecture removes the injection surface rather than patching it: no central server, no master password to extract, and no persistent cleartext inside the browser. Implementations should combine sandboxed URL checking, minimal ephemeral memory windows, and auditable activation logs to verify each autofill operation.

⮞ Summary

Zero DOM is a structural defence: keep secrets in hardware, require physical activation, decrypt only in RAM, and block any DOM-based injection or exfiltration.

passcypher-hsm-pgp

PassCypher HSM PGP — Patented Zero-DOM Technology & Sovereign Anti-Phishing Key Management

Long before DOM Extension Clickjacking was publicly exposed at DEF CON 33, Freemindtronic adopted a different approach. Since 2015 our R&D has followed a simple founding principle: never use the DOM to carry secrets. That Zero-Trust doctrine produced the patented Zero-DOM architecture behind PassCypher HSM PGP, which keeps credentials, TOTP/HOTP, passkeys and cryptographic keys confined in hardware HSM containers — never injected into a manipulable browser environment.

A unique advance in password managers

  • Native Zero-DOM — no sensitive data ever touches the browser.
  • Integrated HSM-PGP — AES-256-CBC encrypted containers with patented segmented-key protection.
  • Sovereign autonomy — no server, no central database, no cloud dependency.

Reinforced BITB protection (EviBITB)

Since 2020 PassCypher HSM PGP embeds EviBITB, a serverless engine that neutralizes Browser-in-the-Browser (BITB) attacks in real time by detecting and destroying malicious iframes and fraudulent overlays and validating UI context anonymously. EviBITB can operate manually, semi-automatically or fully automatically to drastically reduce BITB and invisible DOM-hijacking risk.

EviBITB embedded in PassCypher HSM PGP: real-time iframe and overlay detection and mitigation
EviBITB embedded in PassCypher HSM PGP: real-time detection and destruction of redirect iFrames and malicious overlays.

Why it resists DEF CON-style attacks

Nothing ever transits the DOM, there is no master password to extract, and containers remain encrypted at rest. Decryption occurs only in volatile RAM for the brief instant required to assemble key segments; after autofill the data is erased, leaving no exploitable trace.

Key features

  • Shielded autofill — single-click autofill via sandboxed URL, never exposed in cleartext in the browser.
  • Embedded EviBITB — real-time iframe/overlay neutralization (manual / semi / automatic), fully serverless.
  • Integrated crypto tooling — segmented AES-256 key generation and PGP key management without external dependencies.
  • Universal compatibility — works with any website via the extension; no additional plugins required.
  • Sovereign architecture — zero server, zero central DB, zero DOM; designed to remain resilient where cloud managers fail.

Immediate implementation

No complex setup is required. Install the PassCypher HSM PGP extension from the Chrome Web Store or Edge Add-ons, enable the BITB option, and benefit instantly from Zero-DOM sovereign protection.

⮞ Summary

PassCypher HSM PGP redefines secret management: permanently encrypted containers, segmented keys, ephemeral decryption in RAM, Zero-DOM and zero-cloud. A hardware-centric, passwordless solution engineered to resist current threats and anticipate quantum-era risks.

PassCypher NFC HSM — Sovereign Passwordless Manager

Software password managers fall into the trap of a simple iframe, but PassCypher NFC HSM follows a different path: it never lets your credentials and passwords transit through the DOM. The nano-HSM keeps them encrypted offline and only releases them for a fleeting instant in volatile memory — just long enough to authenticate.

User-side operation:

  • Untouchable secrets — the NFC HSM encrypts and stores credentials so they never appear or leak.
  • TOTP/HOTP — the PassCypher NFC HSM Android app or the PassCypher HSM PGP on desktop generates and displays them instantly on demand.
  • Manual entry — the user enters a PIN or TOTP directly into the login field on a computer or Android NFC phone. The PassCypher app shows the code generated by the NFC HSM module. The same process applies to credentials, passkeys, and other secrets.
  • Contactless autofill — the user simply presents the PassCypher NFC HSM module to a smartphone or computer, which executes autofill seamlessly, even when paired with PassCypher HSM PGP.
  • Desktop autofill — with PassCypher HSM PGP on Windows or macOS, the user clicks the integrated login field button to auto-complete login and password, with optional auto-validation.
  • Distributed anti-BITB — the NFC ↔ Android ↔ browser (Win/Mac/Linux) secure pairing triggers EviBITB to destroy malicious iframes in real time.
  • HID BLE mode — a paired Bluetooth HID keyboard emulator injects credentials outside the DOM, blocking both DOM-based attacks and keyloggers.

⮞ Summary

PassCypher NFC HSM embodies Zero Trust (every action requires physical validation) and Zero Knowledge (no secret is ever exposed). A sovereign hardware identity safeguard by design, it neutralizes clickjacking, BITB attacks, typosquatting, keylogging, IDN spoofing, DOM injections, clipboard hijacking, malicious extensions, while anticipating quantum attacks.

✪ Attacks Neutralized by PassCypher NFC HSM

Attack Type Description Status with PassCypher
Clickjacking / UI Redressing Invisible iframes or overlays that hijack user clicks Neutralized (EviBITB)
BITB (Browser-in-the-Browser) Fake browser frames simulating login windows Neutralized (sandbox + pairing)
Keylogging Keystroke capture by malware Neutralized (HID BLE mode)
Typosquatting Lookalike URLs mimicking legitimate domains Neutralized (physical validation)
Homograph Attack (IDN spoofing) Unicode substitution deceiving users on domain names Neutralized (Zero DOM)
DOM Injection / DOM XSS Malicious scripts injected into the DOM Neutralized (out-of-DOM architecture)
Clipboard Hijacking Interception or modification of clipboard data Neutralized (no clipboard usage)
Malicious Extensions Browser compromised by rogue plugins Neutralized (pairing + sandbox)
Quantum Attacks (anticipated) Massive computation to break crypto keys Mitigated (segmented keys + AES-256 CBC + PGP)

SeedNFC + HID Bluetooth — Secure Wallet Injection

Browser wallet extensions thrive in the DOM — and attackers exploit that weakness. With SeedNFC HSM, the logic flips: the enclave never releases private keys or seed phrases. When users initialize or restore a wallet (web or desktop), the system performs input through a Bluetooth HID emulation — like a hardware keyboard — with no clipboard, no DOM, and no trace for private keys, public keys, or even hot wallet credentials.

Operational flow (anti-DOM, anti-clipboard):

  • Custody — the SeedNFC HSM encrypts and stores the seed/private key (never exports it, never reveals it).
  • Physical activation — the NFC HSM authorizes the operation when the user presents it contactlessly via the Freemindtronic app (Android NFC smartphone).
  • HID BLE injection — the system types the seed (or required fragment/format) directly into the wallet input field, outside the DOM and outside the clipboard, resisting even software keyloggers.
  • BITB protection — users can activate EviBITB (anti-BITB iframe destroyer) inside the app, which neutralizes overlays and malicious redirections during onboarding or recovery.
  • Ephemerality — volatile RAM temporarily holds the data during HID input, then instantly erases it.

Typical use cases:

  • Onboarding or recovery of wallets (MetaMask, Phantom, etc.) without ever exposing the private key to the browser or DOM. The HSM keeps the secret encrypted and decrypts it only in RAM, for the minimal time required.
  • Sensitive operations on desktop (logical air-gap), with physical validation by the user: the user presents the NFC HSM module under an Android NFC smartphone to authorize the action, without keyboard interaction or DOM exposure.
  • Secure multi-asset backup: an offline hardware HSM stores seed phrases, master keys, and private keys, allowing reuse without copying, exporting, or capturing. Users perform activation exclusively through physical, sovereign, and auditable means.

⮞ Summary

First of all, SeedNFC HSM with HID BLE injects private or public keys directly into hot wallet fields via a Bluetooth Low Energy HID emulator, thereby bypassing both keyboard typing and clipboard transfer. Moreover, the channel encrypts data with AES-128 CBC, while the NFC module physically triggers activation, ensuring a secure and verifiable process.
In addition, users can enable anti-BITB protection to neutralize malicious overlays and deceptive redirections.
Finally, the HSM enclave keeps secrets strictly confined, outside the DOM and beyond the reach of malicious extensions, thus guaranteeing sovereign protection by design.

Exploitation Scenarios & Mitigation Paths

The DEF CON 33 revelations are a warning — threats will evolve beyond simple patches. Key near-term scenarios to watch:

  • AI-driven clickjacking: LLMs and automation create realistic, real-time DOM overlays and Shadow-DOM traps at scale — making phishing + DOM hijack far more scalable and convincing.
  • Hybrid mobile tapjacking: stacked UI elements, invisible gestures, and background app interactions enable large-scale mobile validation/exfiltration (OTP, transaction approvals).
  • Post-quantum HSMs: long-term mitigation requires hardware anchors and quantum-resistant key management — move the security boundary into certified HSMs and out of the browser. See §Sovereign Countermeasures for architectural guidance.

⮞ Summary

Future attackers will bypass browser fixes. Mitigation requires a rupture: offline hardware anchors, post-quantum HSM planning, and Zero-DOM designs rather than incremental software band-aids.

Strategic Synthesis

DOM extension clickjacking shows that browsers and extensions cannot be treated as trusted execution zones for secrets. Patches reduce risk but do not eliminate the structural exposure.

The sovereign path — three priorities

  • Governance: treat extensions and autofill engines as critical infrastructure — tighten development controls, mandatory audits, and incident disclosure rules.
  • Architectural change: adopt Zero-DOM designs so secrets never transit the browser; require physical activation for sensitive operations.
  • Hardware resilience: invest in hardware anchors and post-quantum HSM roadmaps to remove single-point failures in cloud/sync models.

Doctrine — concise

  • Consider any secret that touches the DOM as potentially compromised.
  • Prefer physical activation (NFC, HID BLE, HSM flows) for high-value operations.
  • Audit and regulate extension injection logic as a security-critical function.
Regulatory note — Existing regimes (CRA, NIS2, national frameworks) improve software resilience but generally do not address secrets embedded in the DOM. Policymakers should close this blind spot by requiring provable separation of UI and secret flows.

 

Glossary

DOM (Document Object Model)

In-memory representation of a web page’s HTML/JS structure; allows scripts and extensions to access and modify page elements.

Shadow DOM

Encapsulated DOM subtree used to isolate web components; can hide elements from the rest of the document.

Clickjacking

UI redressing technique that tricks users into clicking hidden or overlaid elements.

DOM-Based Extension Clickjacking

Attack variant where a malicious page chains invisible iframes, Shadow DOM and focus() redirects to coerce an extension into injecting secrets into a fake form.

Autofill

Mechanism used by password managers and browser extensions to automatically populate credentials, OTPs or passkeys into web fields.

Passkey

WebAuthn authentication credential (public-key based). Passkeys are phishing-resistant when stored device-bound in a secure element; cloud-synced passkeys are more exposed.

WebAuthn / FIDO

Public-key authentication standard (FIDO2) for passwordless logins; security depends on storage model (synced vs device-bound).

TOTP / HOTP

One-time codes generated by time-based (TOTP) or counter-based (HOTP) algorithms for two-factor authentication.

HSM (Hardware Security Module)

Hardware device that securely generates, stores and uses cryptographic keys without exposing them in cleartext outside the enclave.

PGP (Pretty Good Privacy)

Hybrid encryption standard using public/private keys; here used to protect AES-256-CBC encrypted containers.

AES-256 CBC

Symmetric encryption algorithm (CBC mode) with 256-bit keys — used to encrypt secret containers.

Segmented keys

Key fragmentation approach: keys are split into segments to increase resistance and are assembled securely in ephemeral RAM.

Ephemeral RAM

Volatile memory where secrets are briefly decrypted for an autofill operation and immediately erased — no persistence to disk or DOM.

NFC (Near Field Communication)

Contactless technology used to physically activate an HSM and authorize local secret release.

HID-BLE (Bluetooth Low Energy HID)

BLE keyboard emulation mode to inject data directly into fields without using the DOM or clipboard.

Sandbox URL

Mechanism binding each secret to an expected URL stored inside the HSM; if the active URL does not match, autofill is blocked.

Browser-in-the-Browser (BITB)

Overlay attack that simulates a browser window inside an iframe — tricks users into interacting with a fake authentication frame.

EviBITB

Serverless anti-BITB engine that detects and destroys malicious iframes/overlays in real time and validates UI context anonymously.

SeedNFC

Hardware HSM solution for seed phrase / private key custody; performs out-of-DOM injection via HID/NFC.

Iframe

HTML frame embedding another page; invisible iframes (opacity:0, pointer-events:none) are commonly used in UI redressing attacks.
focus()
JavaScript call that sets focus on a field. Abused to redirect user events to attacker-controlled inputs.

Overlay

Visual layer (fake window/frame) that masks the real interface and deceives the user about the origin of an action.

Exfiltration

Unauthorized extraction of sensitive data from the target (credentials, TOTP, passkeys, private keys).

Phishable

Describes a mechanism (e.g., cloud-synced passkeys) that can be compromised by UI forgery or overlays — therefore vulnerable to phishing.

Content-Security-Policy (CSP)

Web policy controlling resource origins; useful but alone insufficient against advanced clickjacking variants.

X-Frame-Options / frame-ancestors

HTTP headers / CSP directives intended to limit iframe inclusion; can be bypassed in complex attack scenarios.

Keylogging

Malicious capture of keystrokes; mitigated by secure HID injection (no software keyboard or clipboard use).

Note: this glossary standardises terms used in the chronicle. For normative definitions and standards, consult OWASP, NIST and FIDO/WebAuthn specifications.

🔥 In short: cloud patches help, but hardware and Zero-DOM architectures prevent class failures.

⮞ Note — What this chronicle does not cover:

This article does not provide exploitable PoCs or step-by-step attack instructions for DOM clickjacking or passkey phishing. It also does not analyse cryptocurrency economics or specific legal cases beyond a strategic security viewpoint.

The objective: explain structural flaws, quantify systemic risks, and outline Zero-DOM hardware countermeasures as the robust mitigation path. For implementation details, see §Sovereign Countermeasures and the product subsections collected there.

 

Clickjacking des extensions DOM : DEF CON 33 révèle 11 gestionnaires vulnérables

Affiche cyberpunk illustrant DOM Based Extension Clickjacking présenté au DEF CON 33 avec extraction de secrets du navigateur

Clickjacking d’extensions DOM : DEF CON 33 révèle une faille critique et les contre-mesures Zero-DOM

Résumé express — Clickjacking d’extensions DOM

Situation (snapshot — 17 Sep 2025) : à DEF CON 33, des démonstrations en direct ont mis en évidence des attaques de DOM-based extension clickjacking et d’overlays (BITB) capables d’exfiltrer identifiants, codes TOTP, passkeys synchronisées et clés crypto depuis des extensions et wallets. Les tests initiaux ont estimé ≈40 M d’installations exposées. Plusieurs éditeurs ont publié des atténuations en août-sept. 2025 (ex. Bitwarden, Dashlane, Enpass, NordPass, ProtonPass, RoboForm) ; d’autres restent signalés vulnérables (1Password, LastPass, iCloud Passwords, KeePassXC-Browser). Voir le tableau de statut pour le détail par produit. Impact : systémique — tout secret qui touche le DOM peut être exfiltré de manière furtive ; les overlays BITB rendent les passkeys synchronisées « phishables ».

Recommandation : migrer vers des flux matériels Zero-DOM (HSM / NFC) ou ré-ingénierie structurelle des moteurs d’injection. Voir §Contre-mesures Souveraines.

Chronique à lire

Temps de lecture estimé : 37–39 minutes
Date de mise à jour : 2025-10-2
Niveau de complexité : Avancé / Expert
Spécificité linguistique : Lexique souverain — densité technique élevée
Langues disponibles : CAT ·EN ·ES ·FR
Accessibilité : Optimisé pour lecteurs d’écran — ancres sémantiques incluses
Type éditorial : Chronique stratégique
À propos de l’auteur : Jacques Gascuel, inventeur et fondateur de Freemindtronic®. Spécialiste des technologies de sécurité souveraines, il conçoit et brevète des systèmes matériels pour la protection des données, la souveraineté cryptographique et les communications sécurisées.

🚨 DEF CON 33 — Points clés

  • Deux démonstrations en direct : clickjacking d’extensions DOM (gestionnaires/wallets) et passkeys phishables (overlay).
  • ≈11 gestionnaires testés ; impact initial estimé ≈40M d’installations exposées.
  • Direction des atténuations : correctifs UI rapides vs. rares solutions structurelles Zero-DOM.
  • Voir la table de statut et §Contre-mesures souveraines pour le détail.

Il vous reste 3 minutes : lisez le passage clé où DEF CON 33 dévoile le clickjacking d’extensions.

Infographie illustrant l’anatomie d’un clickjacking d’extensions basé sur le DOM : page malveillante, iframe invisible, autofill piégé et exfiltration des secrets vers l’attaquant.

Point d’inflexion : DEF CON 33 dévoile le clickjacking d’extensions

⚡ La découverte

Las Vegas, début août 2025. DEF CON 33 envahit le Las Vegas Convention Center. Entre dômes de hackers, villages IoT, Adversary Village et compétitions CTF, l’ambiance est électrisée. Sur scène, Marek Tóth branche son laptop, lance la démo et appuie sur Entrée. Instantanément, l’attaque vedette apparaît : le clickjacking d’extensions DOM. Facile à coder et dévastateur à exécuter, il repose sur une page piégée, des iframes invisibles et un appel focus() malveillant. Ces éléments trompent les gestionnaires d’autofill qui vident identifiants, codes TOTP et passkeys dans un formulaire fantôme. Le clickjacking d’extensions DOM s’impose donc comme une menace structurelle.

⧉ Seconde démonstration — Passkeys phishables (overlay)

Lors de DEF CON 33, Allthenticate a montré que des passkeys synchronisées peuvent aussi être phishingées via un simple overlay et une redirection — sans injection DOM. Nous traitons les implications complètes dans la section dédiée Passkeys phishables et dans Attribution & sources. À noter également : DEF CON 33 et Black Hat 2025 ont mis en lumière une autre démonstration critique — BitUnlocker — ciblant BitLocker via WinRE (voir §BitUnlocker).

⚠ Message stratégique — risques systémiques

Avec deux démonstrations — l’une visant les gestionnaires/wallets, l’autre ciblant les passkeys — deux piliers de la cybersécurité vacillent. Le constat est net : tant que vos secrets résident dans le DOM, ils restent attaquables. Et tant que la cybersécurité repose sur le navigateur et le cloud, un simple clic peut tout renverser. Comme le rappelle OWASP, le clickjacking est une menace ancienne — mais ici c’est la couche extension qui se révèle fragile.

⎔ L’alternative souveraine — Contre-mesures Zero-DOM

Saviez-vous qu’une alternative existe depuis plus de dix ans — une approche qui évite totalement le DOM du navigateur ? Grâce à PassCypher HSM PGP, PassCypher NFC HSM et SeedNFC pour la sauvegarde matérielle des clés cryptographiques, vos identifiants, mots de passe, codes TOTP/HOTP et clés privées restent chiffrés dans des HSM hors ligne et ne sont jamais exposés au DOM. Ce n’est pas une rustine : c’est une architecture souveraine propriétaire, décentralisée — sans serveur, sans base de données centrale et sans mot de passe maître — qui fonctionne hors ligne. Elle libère la gestion des secrets des dépendances techniques, d’hébergement et des obligations juridiques liées aux services centralisés (synchronisation cloud, FIDO/WebAuthn, gestionnaires de mots de passe), tout en offrant une protection native contre le clickjacking d’extensions et les attaques BITB.

Merci d’avoir pris le temps de lire ce résumé. — On dit souvent que « le diable se cache dans les détails » : c’est précisément ce que je vous propose de découvrir dans la chronique complète. Vous voulez tout savoir sur le clickjacking d’extensions DOM, les passkeys phishables, l’attaque BitUnlocker ainsi que les contre-mesures Zero-DOM et anti-overlay capables de protéger vos secrets ? ➜ Lisez la suite.

2021 Digital Security EviPass NFC HSM technology Technical News

766 trillion years to find 20-character code like a randomly generated password

2025 Digital Security Technical News

Quantum computer 6100 qubits ⮞ Historic 2025 breakthrough

2025 Digital Security Technical News

Ordinateur quantique 6100 qubits ⮞ La percée historique 2025

2025 Cyberculture Digital Security

Authentification multifacteur : anatomie, OTP, risques

2023 Digital Security

WhatsApp Hacking: Prevention and Solutions

2025 Digital Security

Email Metadata Privacy: EU Laws & DataShielder

2025 Digital Security

Chrome V8 confusió RCE — Actualitza i postura Zero-DOM

2025 Digital Security

Chrome V8 confusion RCE — Your browser was already spying

2024 Cyberculture Digital Security

Russian Cyberattack Microsoft: An Unprecedented Threat

2025 Digital Security

Chrome V8 Zero-Day: CVE-2025-6554 Actively Exploited

2025 Digital Security

APT29 Exploits App Passwords to Bypass 2FA

2025 Digital Security

Signal Clone Breached: Critical Flaws in TeleMessage

2025 Digital Security

APT29 Spear-Phishing Europe: Stealthy Russian Espionage

2024 Digital Security

Why Encrypt SMS? FBI and CISA Recommendations

2025 Digital Security

APT44 QR Code Phishing: New Cyber Espionage Tactics

2024 Digital Security

BitLocker Security: Safeguarding Against Cyberattacks

2024 Digital Security

French Minister Phone Hack: Jean-Noël Barrot’s G7 Breach

2024 Digital Security

Cyberattack Exploits Backdoors: What You Need to Know

2021 Cyberculture Digital Security Phishing

Phishing Cyber victims caught between the hammer and the anvil

2024 Digital Security

Google Sheets Malware: The Voldemort Threat

2024 Articles Digital Security News

Russian Espionage Hacking Tools Revealed

2024 Digital Security Spying Technical News

Side-Channel Attacks via HDMI and AI: An Emerging Threat

2024 Digital Security Technical News

Apple M chip vulnerability: A Breach in Data Security

Digital Security Technical News

Brute Force Attacks: What They Are and How to Protect Yourself

2023 Digital Security

Predator Files: The Spyware Scandal That Shook the World

2023 Digital Security Phishing

BITB Attacks: How to Avoid Phishing by iFrame

2023 Digital Security

5Ghoul: 5G NR Attacks on Mobile Devices

2024 Digital Security

Europol Data Breach: A Detailed Analysis

Digital Security EviToken Technology Technical News

EviCore NFC HSM Credit Cards Manager | Secure Your Standard and Contactless Credit Cards

2024 Cyberculture Digital Security News Training

Andorra National Cyberattack Simulation: A Global First in Cyber Defense

Articles Digital Security EviVault Technology NFC HSM technology Technical News

EviVault NFC HSM vs Flipper Zero: The duel of an NFC HSM and a Pentester

Articles Cryptocurrency Digital Security Technical News

Securing IEO STO ICO IDO and INO: The Challenges and Solutions

Articles Cyberculture Digital Security Technical News

Protect Meta Account Identity Theft with EviPass and EviOTP

2024 Digital Security

Cybersecurity Breach at IMF: A Detailed Investigation

2023 Articles Cyberculture Digital Security Technical News

Strong Passwords in the Quantum Computing Era

2024 Digital Security

PrintListener: How to Betray Fingerprints

2024 Articles Digital Security News Spying

How to protect yourself from stalkerware on any phone

2023 Articles DataShielder Digital Security Military spying News NFC HSM technology Spying

Pegasus: The cost of spying with one of the most powerful spyware in the world

2024 Digital Security Spying

Ivanti Zero-Day Flaws: Comprehensive Guide to Secure Your Systems Now

2024 Articles Compagny spying Digital Security Industrial spying Military spying News Spying Zero trust

KingsPawn A Spyware Targeting Civil Society

2024 Articles Digital Security EviKey NFC HSM EviPass News SSH

Terrapin attack: How to Protect Yourself from this New Threat to SSH Security

Articles Crypto Currency Cryptocurrency Digital Security EviPass Technology NFC HSM technology Phishing

Ledger Security Breaches from 2017 to 2023: How to Protect Yourself from Hackers

2024 Articles Digital Security News Phishing

Google OAuth2 security flaw: How to Protect Yourself from Hackers

Articles Digital Security EviCore NFC HSM Technology EviPass NFC HSM technology NFC HSM technology

TETRA Security Vulnerabilities: How to Protect Critical Infrastructures

2023 Articles DataShielder Digital Security EviCore NFC HSM Technology EviCypher NFC HSM EviCypher Technology NFC HSM technology

FormBook Malware: How to Protect Your Gmail and Other Data

Articles Digital Security

Chinese hackers Cisco routers: how to protect yourself?

Articles Crypto Currency Digital Security EviSeed EviVault Technology News

Enhancing Crypto Wallet Security: How EviSeed and EviVault Could Have Prevented the $41M Crypto Heist

Articles Digital Security News

How to Recover and Protect Your SMS on Android

Articles Crypto Currency Digital Security News

Coinbase blockchain hack: How It Happened and How to Avoid It

Articles Compagny spying Digital Security Industrial spying Military spying Spying

Protect yourself from Pegasus spyware with EviCypher NFC HSM

Articles Digital Security EviCypher Technology

Protect US emails from Chinese hackers with EviCypher NFC HSM?

Articles Digital Security

What is Juice Jacking and How to Avoid It?

2023 Articles Cryptocurrency Digital Security NFC HSM technology Technologies

How BIP39 helps you create and restore your Bitcoin wallets

Articles Digital Security Phishing

Snake Malware: The Russian Spy Tool

Articles Cryptocurrency Digital Security Phishing

ViperSoftX How to avoid the malware that steals your passwords

Articles Digital Security Phishing

Kevin Mitnick’s Password Hacking with Hashtopolis

En cybersécurité souveraine Cette chronique fait partie de la rubrique Digital Security, tournée vers les exploits, vulnérabilités systémiques et contre-mesures matérielles zero-trust.

Historique du Clickjacking (2002–2025)

Définition du clickjacking d’extensions basé sur le DOM

Le DOM-based extension clickjacking détourne une extension (gestionnaire de mots de passe ou wallet) en abusant du Document Object Model du navigateur. Une page trompeuse enchaîne iframes invisibles, Shadow DOM et un appel focus() malveillant pour déclencher l’autofill dans un formulaire invisible. L’extension « pense » être sur le bon champ et y déverse des secrets — identifiants, codes TOTP/HOTP, passkeys, voire clés privées. Parce que ces secrets touchent le DOM, ils peuvent être exfiltrés silencieusement.

⮞ Perspicacité doctrinale : Le DOM-based extension clickjacking n’est pas un bug ponctuel — c’est un défaut de conception. Toute extension qui injecte des secrets dans un DOM manipulable est vulnérable par nature. Seules des architectures Zero-DOM (séparation structurelle, HSM/NFC, injection hors-navigateur) éliminent cette surface d’attaque.

Quel est le niveau de dangerosité ?

Ce vecteur n’est pas une variante mineure : il exploite la logique même de l’autofill et agit à l’insu de l’utilisateur. L’attaquant ne se contente pas de superposer un élément ; il force l’extension à remplir un faux formulaire comme si de rien n’était, rendant l’exfiltration indétectable par une observation superficielle.

Déroulé type de l’attaque

  1. Préparation — la page malveillante intègre une iframe invisible et un Shadow DOM qui camoufle le vrai contexte ; des champs sont rendus non visibles (opacity:0, pointer-events:none).
  2. Appât — la victime clique sur un élément anodin ; des redirections et un focus() malveillant redirigent l’événement vers un champ contrôlé par l’attaquant.
  3. Exfiltration — l’extension croit interagir avec un champ légitime et injecte automatiquement identifiants, TOTP, passkeys ou clés privées dans le DOM factice ; les données sont aussitôt exfiltrées.

Cette mécanique trompe les indices visuels, contourne des protections classiques (X-Frame-Options, Content-Security-Policy, frame-ancestors) et transforme l’autofill en un canal d’exfiltration invisible. Les overlays de type Browser-in-the-Browser (BITB) ou les manipulations de Shadow DOM aggravent encore le risque, rendant les passkeys synchronisées et les credentials phishables.

⮞ Résumé

Le clickjacking d’extensions combine iframes invisibles, manipulation du Shadow DOM et redirections via focus() pour détourner les extensions d’autofill. Les secrets sont injectés dans un formulaire fantôme, offrant à l’attaquant un accès direct aux données sensibles (identifiants, TOTP/HOTP, passkeys, clés privées). Moralité : tant que les secrets transitent par le DOM, la surface d’attaque reste ouverte.

Historique du Clickjacking (2002–2025)

Le clickjacking est devenu le parasite persistant du web moderne. Le terme apparaît au début des années 2000, lorsque Jeremiah Grossman et Robert Hansen décrivent la tromperie consistant à pousser un internaute à cliquer sur quelque chose qu’il ne voit pas réellement. Une illusion appliquée au code, vite devenue une technique d’attaque incontournable (OWASP).

  • 2002–2008 : émergence du “UI redressing” : calques HTML + iframes transparentes piégeant l’utilisateur (Hansen Archive).
  • 2009 : Facebook victime du Likejacking (OWASP).
  • 2010 : apparition du Cursorjacking : décalage du pointeur pour tromper le clic (OWASP).
  • 2012–2015 : exploitation via iframes, publicité et malvertising (MITRE CVE).
  • 2016–2019 : le tapjacking sévit sur mobile (Android Security Bulletin).
  • 2020–2024 : montée du “hybrid clickjacking” mêlant XSS et phishing (OWASP WSTG).
  • 2025 : à DEF CON 33, Marek Tóth dévoile un nouveau palier : DOM-Based Extension Clickjacking. Cette fois, ce ne sont plus seulement les sites web mais les extensions navigateur (gestionnaires, wallets) qui injectent des formulaires invisibles.

❓Depuis combien de temps étiez-vous exposés ?

Le clickjacking et les iframes invisibles sont connus depuis des années ; l’utilisation du Shadow DOM n’est pas nouvelle. Les révélations de DEF CON 33 exposent un motif de conception vieux d’une décennie : les extensions qui font confiance au DOM pour injecter des secrets sont vulnérables par construction.

Synthèse : En 20 ans, le clickjacking est passé d’une astuce visuelle à un sabotage systémique des gestionnaires d’identité. DEF CON 33 marque un point de rupture : la menace n’est plus seulement le site web, mais le cœur des extensions et de l’autofill.

Gestionnaires vulnérables & divulgation CVE (instantané — 2 oct. 2025)

Mise à jour : 2 octobre 2025 Depuis la divulgation DEF CON 33 par Marek Tóth, plusieurs éditeurs ont déployé des correctifs ou atténuations, mais la réactivité varie fortement. La nouvelle colonne indique le délai estimé entre la présentation (8 août 2025) et la sortie d’un patch/atténuation.

Gestionnaire Identifiants TOTP Passkeys Statut Patch / note officielle ⏱️ Délai de patch
1Password Oui Oui Oui Mitigations (v8.11.x) Blog 🟠 >6 semaines (mitigation)
Bitwarden Oui Oui Partiel Corrigé (v2025.8.2) Release 🟢 ~4 semaines
Dashlane Oui Oui Oui Corrigé Advisory 🟢 ~3 semaines
LastPass Oui Oui Oui Corrigé (sept. 2025) Release 🟠 ~6 semaines
Enpass Oui Oui Oui Corrigé (v6.11.6) Release 🟠 ~5 semaines
iCloud Passwords Oui Non Oui Vulnérable (en examen) 🔴 >7 semaines (aucun patch)
LogMeOnce Oui Non Oui Corrigé (v7.12.7) Release 🟢 ~4 semaines
NordPass Oui Oui Partiel Corrigé (atténuations) Release 🟠 ~5 semaines
ProtonPass Oui Oui Partiel Corrigé (atténuations) Releases 🟠 ~5 semaines
RoboForm Oui Oui Oui Corrigé Update 🟢 ~4 semaines
Keeper Partiel Non Non Patch partiel (v17.2.0) Release 🟠 ~6 semaines (partiel)

⮞ Perspectiva estratégica:

Incluso tras correcciones, el problema sigue siendo arquitectónico: mientras las credenciales y secretos transiten por el DOM, permanecerán expuestos.
Las soluciones Zero-DOM (PassCypher HSM PGP, PassCypher NFC HSM, SeedNFC) eliminan la superficie de ataque al garantizar que los secretos nunca abandonen su contenedor cifrado.
Zero-DOM = superficie de ataque nula.

Nota: instantánea al 2 de octubre de 2025. Para versiones por producto, notas de versión y CVE asociados, consulte la tabla y las páginas oficiales de los editores.

Technologies de correction mises en œuvre

Depuis la divulgation publique du DOM Extension Clickjacking à DEF CON 33, des éditeurs ont publié des correctifs. Toutefois ces correctifs restent inégaux et se limitent souvent à des ajustements d’UI ou des vérifications contextuelles. Aucun fournisseur n’a jusqu’ici refondu le moteur d’injection.

Avant d’examiner les méthodes, voici une vue d’ensemble visuelle des principales technologies déployées : du pansement cosmétique aux solutions souveraines Zero-DOM.

Infographie des défenses contre le clickjacking DOM : X-Frame-Options, CSP, retards d’autofill, boîtes de dialogue flottantes
Quatre technologies de défense contre le clickjacking DOM : politiques de sécurité, délais d’injection, et isolation de l’interface. Lisez l’article complet →

Objectif

Expliquer comment les éditeurs ont tenté de corriger la faille, distinguer patchs cosmétiques et corrections structurelles, et mettre en lumière les approches souveraines Zero-DOM hardware.

Méthodes observées (août 2025)

Méthode Description Gestionnaires concernés
Restriction d’autofill Passage en mode « on-click » ou désactivation par défaut Bitwarden, Dashlane, Keeper
Filtrage de sous-domaines Blocage sur sous-domaines non explicitement autorisés ProtonPass, RoboForm
Détection Shadow DOM Refus d’injection si le champ est encapsulé dans un Shadow DOM NordPass, Enpass
Isolation contextuelle Contrôles avant injection (iframe, opacité, focus) Bitwarden, ProtonPass
Matériel souverain (Zero-DOM) Aucun secret ne transite par le DOM : NFC HSM, HSM PGP, SeedNFC PassCypher, EviKey, SeedNFC (non vulnérables par design)

📉 Limites observées

  • Les patchs ne changent pas le moteur d’injection, ils en limitent seulement le déclenchement.
  • Aucune séparation structurelle interface ↔ flux de secrets.
  • Tant que l’injection reste liée au DOM, de nouvelles variantes de clickjacking demeurent possibles.
⮞ Transition stratégique Ces correctifs réagissent aux symptômes sans traiter la cause. Pour distinguer la rustine de la refonte doctrinale, poursuivez avec l’analyse ci-dessous.

Technologies de correction — Analyse technique & doctrinale

Constat Le clickjacking d’extensions DOM n’est pas un bug ponctuel mais une erreur de conception : injecter des secrets dans un DOM manipulable sans séparation structurelle ni contrôle contextuel robuste rend l’architecture vulnérable.

Ce que les correctifs actuels n’adressent pas

  • Aucun éditeur n’a reconstruit son moteur d’injection.
  • Les correctifs limitent l’activation (désactivation, filtrage, détection partielle) plutôt que de changer le modèle d’injection.

Ce qu’exigerait une correction structurelle

  • Supprimer la dépendance au DOM pour l’injection de secrets.
  • Isoler le moteur d’injection hors du navigateur (matériel ou processus sécurisé séparé).
  • Imposer une authentification matérielle (NFC, PGP, enclave) et une validation physique explicite.
  • Interdire toute interaction avec des champs invisibles/encapsulés par défaut.

Typologie des correctifs

Niveau Type Description
Cosmétique UI/UX, autofill désactivé par défaut Ne modifie pas la logique d’injection, uniquement son déclencheur
Contextuel Filtrage DOM, Shadow DOM, sous-domaines Ajoute des conditions, mais reste prisonnier du DOM
Structurel Zero-DOM, matériel (PGP, NFC, HSM) Élimine l’usage du DOM pour les secrets, sépare UI et flux sensibles

Tests doctrinaux pour vérifier un correctif

  • Injecter un champ invisible (opacity:0) dans une iframe et observer le comportement d’injection.
  • Simuler un Shadow DOM encapsulé et vérifier si l’extension injecte malgré tout.
  • Vérifier si l’action d’autofill est tracée/auditable ou correctement bloquée en cas de mismatch de contexte.

Absence de norme industrielle

Aucune norme (NIST/OWASP/ISO) n’encadre aujourd’hui : (1) la logique d’injection des extensions, (2) la séparation UI ↔ flux de secrets, (3) la traçabilité des auto-remplissages.

⮞ Conclusion Les correctifs actuels sont majoritairement des pansements. La solution durable est architecturale : retirer les secrets du DOM via des patterns Zero-DOM et une isolation matérielle (HSM/NFC/PGP).

Risques systémiques & vecteurs d’exploitation

Le DOM-based extension clickjacking n’est pas un bug isolé : c’est une faille systémique. Lorsqu’un flux d’injection d’extension est compromis, l’impact dépasse le simple mot de passe volé : il peut entraîner une cascade d’effets sur l’authentification et l’infrastructure.

Scénarios critiques

  • Accès persistant — un TOTP cloné permet d’enregistrer un appareil « de confiance » et de maintenir l’accès après réinitialisation.
  • Rejeu de passkeys — une passkey exfiltrée peut servir de jeton réutilisable hors de tout contrôle.
  • Compromission SSO — fuite de tokens OAuth/SAML via une extension entreprise = brèche SI complète.
  • Chaîne d’approvisionnement — extensions faibles ou malveillantes deviennent une surface d’attaque structurelle pour les navigateurs.
  • Vol d’actifs crypto — les wallets qui s’appuient sur l’injection DOM peuvent fuir seed phrases ou clés privées, ou signer des transactions malveillantes.

⮞ Résumé

Les conséquences vont au-delà du vol de credentials : TOTP clonés, passkeys rejouées, tokens SSO compromis et seed phrases exfiltrées sont des résultats réalistes. Tant que des secrets transitent par le DOM, ils restent un vecteur d’exfiltration.

Comparatif de menace souverain

Attaque Cible Secrets Contre-mesure souveraine
ToolShell RCE SharePoint / OAuth Certificats SSL, tokens SSO Stockage + signature hors-DOM (HSM/PGP)
eSIM hijack Identité mobile Profils opérateurs Ancrage matériel (SeedNFC)
DOM clickjacking Extensions navigateur Credentials, TOTP, passkeys Zero-DOM + HSM / sandboxed autofill
Crypto-wallet hijack Extensions wallets Clés privées, seed phrases Injection HID/NFC depuis HSM (pas de DOM ni clipboard)
Atomic Stealer Presse-papier macOS Clés PGP, wallets Canaux chiffrés + HSM → injection hors-clipboard

Le clickjacking d’extensions DOM révèle ainsi la fragilité des modèles de confiance logicielle.

Exposition régionale & impact linguistique — sphère francophone

Le clickjacking d’extensions DOM frappe différemment selon les régions. Ci-dessous l’exposition estimée des populations francophones en Europe et dans la francophonie globale, là où les risques numériques sont concentrés et où les réponses souveraines doivent être priorisées.

Exposition estimée — Aire francophone (août 2025)

Zone Population francophone % en Europe Contre-mesures disponibles
Francophonie mondiale (OIF) ≈321 millions PassCypher HSM PGP, NFC HSM, SeedNFC (docs FR)
Europe (UE + Europe entière) ≈210 millions ~20 % de l’UE PassCypher HSM PGP (compatible RGPD, ANSSI)
France (locuteurs natifs) ≈64 millions ≈95 % de la population PassCypher HSM PGP (version FR)

⮞ Lecture stratégique

Les populations francophones en Europe constituent une cible prioritaire : entre ≈210M en Europe et ≈321M dans le monde, une part significative est exposée. En France (~64M locuteurs), l’enjeu est national. Seules des contre-mesures Zero-DOM souveraines — PassCypher HSM PGP, NFC HSM, SeedNFC (docs FR) — garantissent une défense indépendante et résiliente.

Sources : OIF, données Europe, WorldData.

Extensions crypto-wallets exposées

Les gestionnaires de mots de passe ne sont pas les seuls à tomber : les wallets (MetaMask, Phantom, TrustWallet) reposent souvent sur l’injection DOM pour afficher ou signer des transactions. Un overlay bien placé ou une iframe invisible peut amener l’utilisateur à croire qu’il valide une opération légitime alors qu’il signe un virement malveillant ou révèle sa seed phrase.

Implication directe : contrairement aux credentials, ici il s’agit d’actifs financiers immédiats. Des milliards de dollars reposent sur ces extensions. Le DOM devient donc un vecteur d’exfiltration monétaire.

⮞ Résumé

Les extensions wallets qui réutilisent le DOM s’exposent aux mêmes failles : seed phrases, clés privées et signatures de transactions peuvent être interceptées via redressing DOM.

Contre-mesure souveraine : SeedNFC HSM — sauvegarde matérielle des clés privées et seed phrases, hors DOM, avec injection sécurisée NFC↔HID BLE. Les clés ne quittent jamais le HSM ; l’utilisateur active physiquement chaque opération : le redressing DOM devient inopérant. En complément, PassCypher HSM PGP et PassCypher NFC HSM protègent OTP et credentials, évitant la compromission latérale.

Sandbox navigateur faillible & attaques BITB

Les navigateurs présentent leur sandbox comme un rempart, pourtant le DOM-based extension clickjacking et le Browser-in-the-Browser (BITB) démontrent le contraire. Un simple overlay et un faux cadre d’authentification suffisent à tromper l’utilisateur : il croit interagir avec Google, Microsoft ou sa banque alors qu’il livre ses secrets à une page frauduleuse. Même frame-ancestors ou certaines règles CSP ne suffisent pas toujours à empêcher ces forgeries d’interface.

C’est ici que les technologies souveraines modifient la donne. Avec EviBITB (IRDR), Freemindtronic intègre dans PassCypher HSM PGP un moteur de détection et destruction d’iframes de redirection, capable de neutraliser en temps réel les tentatives de BITB. Activable en un clic, utilisable en mode manual, semi-automatique ou automatique, il fonctionne sans serveur, sans base de données et agit instantanément. (explications · guide détaillé)

La clé de voûte reste le sandbox URL. Chaque identifiant ou clé est lié à une URL de référence stockée chiffrée dans le HSM. Lorsqu’une page tente un autofill, l’URL active est comparée à celle du HSM. En cas de non-correspondance, aucune donnée n’est injectée. Ainsi, même si un iframe franchit des contrôles visuels, le sandbox URL bloque l’exfiltration.

Cette double barrière s’étend aux usages desktop via l’appairage sécurisé NFC entre un smartphone Android NFC et l’application Freemindtronic intégrant PassCypher NFC HSM : les secrets restent chiffrés dans le HSM et ne sont déchiffrés que quelques millisecondes en RAM, juste le temps nécessaire à l’auto-remplissage — sans jamais transiter ni résider dans le DOM.

⮞ Résumé technique (attaque contrée par EviBITB + sandbox URL)

La chaîne d’attaque utilise overlays CSS invisibles (opacity:0, pointer-events:none), iframes et Shadow DOM encapsulé. En enchaînant focus() et suivi du curseur, l’extension est piégée pour autofill dans un formulaire invisible aussitôt exfiltré. Avec EviBITB, ces iframes/overlays sont détruits en temps réel ; parallèlement, le sandbox URL vérifie l’authenticité de la destination par rapport à l’URL chiffrée dans le HSM. Si mismatch → autofill bloqué. Résultat : pas d’injection, pas de fuite. Les secrets restent hors-DOM, y compris en usage desktop via NFC HSM appairé.

Illustration de la protection anti-BitB et anti-clickjacking par EviBITB et Sandbox URL intégrés à PassCypher HSM PGP / NFC HSM
✪ Illustration – Le bouclier EviBITB et le cadenas Sandbox URL empêchent l’exfiltration des identifiants depuis un formulaire piégé par clickjacking.
⮞ Référence pratique Pour une implémentation Zero-DOM pratique et détails produit (outillage anti-iframe, liaison HSM URL et appairage desktop), voir §PassCypher HSM PGP et §Contre-mesures souveraines.

Passkeys phishables — Overlays observés à DEF CON 33

À DEF CON 33, une démonstration indépendante a montré que des passkeys synchronisées — souvent présentées comme « résistantes au phishing » — peuvent être exfiltrées silencieusement via un simple overlay + redirection. Contrairement au DOM-based extension clickjacking, ce vecteur n’exige aucune injection DOM : il abuse de la confiance UI et des frames rendues par le navigateur pour leurrer l’utilisateur et récolter des credentials synchronisés.

Fonctionnement (résumé)

  • Overlay / redirection : un faux cadre d’authentification imitant un portail légitime est affiché.
  • Trust navigateur abusé : l’UI semble légitime ; l’utilisateur approuve des actions/boîtes de dialogue qui libèrent les passkeys synchronisées.
  • Export synchronisé : une fois l’accès obtenu, les passkeys et credentials synchronisés peuvent être exportés et réutilisés.

Synch vs lié à l’appareil — différence clé

  • Passkeys synchronisées : stockées/répliquées via cloud / gestionnaire — pratiques mais point de défaillance unique et phishables par usurpation UI.
  • Passkeys liées à l’appareil : stockées dans un élément sécurisé matériel et ne quittent pas l’appareil — non soumises à l’export cloud, donc beaucoup plus résistantes aux overlays.

Preuves & sources

Conclusion stratégique : l’usurpation d’UI prouve que la « résistance au phishing » dépend du modèle de stockage et de confiance : les passkeys synchronisées via cloud / gestionnaires sont phishables ; les credentials liées au matériel (élément sécurisé) restent l’alternative robuste. Cela renforce la doctrine Zero-DOM + hardware souverain.

BitUnlocker — Attaque sur BitLocker via WinRE

À DEF CON 33 et Black Hat USA 2025, l’équipe STORM a présenté une attaque critique contre BitLocker nommée BitUnlocker. La technique contourne certaines protections de BitLocker en exploitant des faiblesses logiques dans l’environnement de récupération Windows (WinRE).

Vecteurs d’attaque

  • Parsing de boot.sdi — manipulation du processus de chargement
  • ReAgent.xml — modification de la configuration de récupération
  • BCD altéré — exploitation des Boot Configuration Data

Méthodologie

Les chercheurs ont ciblé la chaîne de démarrage et ses composants de récupération pour :

  • Identifier des faiblesses logiques dans WinRE ;
  • Développer des exploits capables d’exfiltrer des secrets BitLocker ;
  • Proposer des contre-mesures pour renforcer BitLocker / WinRE.

Impact stratégique

Cette attaque montre que même des systèmes de chiffrement réputés peuvent être contournés via des vecteurs indirects — ici la chaîne de récupération. Elle souligne la nécessité d’une approche « défense en profondeur » protégeant non seulement les primitives cryptographiques mais aussi l’intégrité du boot/recovery.

Passkeys phishables @ DEF CON 33 — Attribution & note technique

Recherche principale : Dr Chad Spensky (Allthenticate)

Co-auteurs techniques : Shourya Pratap Singh, Daniel Seetoh, Jonathan (Jonny) Lin — Passkeys Pwned: Turning WebAuthn Against Itself (DEF CON 33)

Contributeurs reconnus : Shortman, Masrt, sails, commandz, thelatesthuman, malarum (intro slide)

Références :

Conclusion clé : l’usurpation d’UI par overlay peut exfiltrer des passkeys synchronisées sans toucher le DOM. Doctrine renforcée : Zero-DOM + validation hors-navigateur.

Signaux stratégiques DEF CON 33

DEF CON 33 cristallise un changement d’hypothèses sur la sécurité navigateur. Points d’action :

  • Les navigateurs ne sont plus des zones de confiance. Le DOM n’est pas un sanctuaire des secrets.
  • Passkeys synchronisées & secrets injectés dans le DOM sont phishables.
  • Réponses éditeurs hétérogènes ; correctifs structurels rares.
  • Prioriser les approches Zero-DOM matérielles. Les flux hardware hors-ligne réduisent l’exposition et doivent figurer dans les feuilles de route.

Synthèse

Plutôt que de s’en tenir à des correctifs cosmétiques, planifiez une rupture doctrinale : considérez tout secret touchant le DOM comme compromis et accélérer l’adoption d’atténuations matérielles Zero-DOM.

Contre-mesures souveraines (Zero-DOM)

Les correctifs éditeurs réduisent le risque immédiat mais ne suppriment pas la cause : les secrets qui transitent par le DOM. Zero-DOM signifie que les secrets ne doivent jamais résider, transiter ou dépendre du navigateur. La défense durable est architecturale — garder credentials, TOTP, passkeys et clés privées dans du matériel hors-ligne et ne les exposer qu’éphémèrement en mémoire volatile après activation explicite.

Schéma Zero DOM Flow montrant l’arrêt de l’exfiltration DOM et l’injection sécurisée via HSM PGP / NFC HSM avec Sandbox URL
Zero DOM Flow : les secrets restent en HSM, injection HID en RAM éphémère, exfiltration DOM impossible

Dans une conception Zero-DOM, les secrets sont stockés dans des HSM hors-ligne et ne sont libérés qu’après une action physique explicite (tap NFC, appairage HID, confirmation locale). Le déchiffrement a lieu en RAM volatile pour l’intervalle minimal nécessaire ; rien ne persiste dans le DOM ou sur disque.

Fonctionnement souverain : NFC HSM, HID-BLE et HSM-PGP

NFC HSM ↔ Android ↔ Navigateur : l’utilisateur présente physiquement le NFC HSM à un appareil Android NFC. L’application compagnon vérifie la requête de l’hôte, active le module et transmet le secret chiffré sans contact au poste. Le déchiffrement ne s’effectue qu’en RAM ; le navigateur ne contient jamais le secret en clair.

NFC HSM ↔ HID-BLE : appairé avec un émulateur clavier Bluetooth HID, le système tape les credentials directement dans le champ cible via un canal AES-128-CBC chiffré, évitant clipboard, keyloggers et exposition DOM.

Activation locale HSM-PGP : en local, un conteneur HSM-PGP (AES-256-CBC PGP) se déchiffre dans la RAM sur une action utilisateur unique. Le secret est injecté sans traverser le DOM et effacé immédiatement après usage.

Cette approche supprime la surface d’injection au lieu de la masquer : pas de serveur central, pas de mot de passe maître extractible et pas de cleartext persistant dans le navigateur. Les implémentations doivent combiner sandbox URL, fenêtres mémoire minimales et journaux d’activation auditables.

⮞ Résumé

Zero-DOM est une défense structurelle : garder les secrets dans du matériel, exiger une activation physique, déchiffrer seulement en RAM, et bloquer toute injection/exfiltration basée DOM.

PassCypher HSM PGP — Technologie Zero-DOM brevetée & gestion souveraine des clés anti-phishing

Longtemps avant que le DOM Extension Clickjacking ne soit exposé publiquement à DEF CON 33, Freemindtronic a adopté une autre approche. Depuis 2015, notre R&D suit un principe fondateur : ne jamais utiliser le DOM pour transporter des secrets. Cette doctrine Zero-Trust a produit l’architecture Zero-DOM brevetée de PassCypher HSM PGP, qui maintient identifiants, TOTP/HOTP, passkeys et clés cryptographiques confinés dans des conteneurs HSM matériels — jamais injectés dans un environnement navigateur manipulable.

Un progrès unique pour la gestion des secrets

  • Zero-DOM natif — aucune donnée sensible ne touche le navigateur.
  • HSM-PGP intégré — conteneurs AES-256-CBC chiffrés + protection par segmentation de clés brevetée.
  • Souveraineté opérationnelle — zéro serveur, zéro base centrale, zéro dépendance cloud.

Protection BITB renforcée (EviBITB)

Depuis 2020, PassCypher HSM PGP intègre EviBITB, un moteur serverless neutralisant en temps réel les attaques Browser-in-the-Browser : détection et destruction d’iframes malveillants, identification d’overlays frauduleux et validation anonyme du contexte UI. EviBITB peut fonctionner en mode manuel, semi-automatique ou automatique pour réduire drastiquement le risque BITB et le détournement invisible du DOM.

Interface PassCypher HSM PGP avec EviBITB activé, supprimant automatiquement les iFrames de redirection malveillants
EviBITB embarqué dans PassCypher HSM PGP détecte et détruit en temps réel toutes les iFrames de redirection, neutralisant les attaques BITB et les détournements DOM invisibles.

EviBITB intégré : détection et destruction en temps réel des iFrames et overlays malveillants.

Pourquoi résiste-t-il aux attaques type DEF CON ?

Rien ne transite par le DOM, il n’existe pas de mot de passe maître à extraire et les conteneurs restent chiffrés au repos. La déchiffrement s’opère uniquement en RAM volatile, pour l’instant minimal requis pour assembler des segments de clés ; après l’autofill, tout est effacé sans trace exploitable.

Fonctionnalités clés

  • Auto-remplissage blindé — autofill en un clic via sandbox URL, jamais en clair dans le navigateur.
  • EviBITB embarqué — neutralisation d’iframes/overlays en temps réel (manuel / semi / automatique), 100 % serverless.
  • Outils crypto intégrés — génération et gestion de clés segmentées AES-256 et gestion PGP sans dépendances externes.
  • Compatibilité universelle — fonctionne avec n’importe quel site via logiciel + extension ; pas de plugins additionnels requis.
  • Architecture souveraine — zéro serveur, zéro DB centrale, zéro DOM : résilience par design.

Mise en œuvre immédiate

Aucune configuration complexe : installez l’extension PassCypher HSM PGP (Chrome Web Store / Edge Add-ons), activez l’option BITB et sandbox URL dans les paramètres, et bénéficiez instantanément d’une protection Zero-DOM souveraine.

⮞ En bref

PassCypher HSM PGP redéfinit la gestion des secrets : conteneurs chiffrés en permanence, clés segmentées, déchiffrement éphémère en RAM, Zero-DOM et zéro cloud. Solution matérielle passwordless souveraine conçue pour résister aux menaces actuelles et anticiper l’ère post-quantique.

PassCypher NFC HSM — Gestionnaire passwordless souverain

Quand les gestionnaires logiciels se font piéger par une simple iframe, PassCypher NFC HSM suit une autre voie : vos identifiants et mots de passe ne transitent jamais par le DOM. Ils restent chiffrés dans un nano-HSM hors-ligne et n’apparaissent qu’un instant en RAM volatile — juste le temps strict nécessaire à l’authentification.

Fonctionnement côté utilisateur :

  • Secrets intouchables — stockés et chiffrés dans le NFC HSM, jamais visibles ni extraits.
  • TOTP/HOTP — générés et affichés à la demande via l’application PassCypher NFC HSM (Android) ou sur desktop via PassCypher HSM PGP.
  • Saisie manuelle — l’utilisateur saisit PIN ou TOTP directement ; l’app PassCypher affiche le code généré par le NFC HSM.
  • Auto-remplissage sans contact — présentation du module NFC HSM au smartphone ou ordinateur ; autofill sans contact, même appairé à PassCypher HSM PGP.
  • Auto-remplissage desktop — avec PassCypher HSM PGP, clic sur un bouton intégré au champ pour remplir login/mot de passe.
  • Anti-BITB distribué — appairage NFC ↔ Android ↔ navigateur déclenchant EviBITB pour neutraliser les iframes en temps réel.
  • Mode HID BLE — émulation de clavier Bluetooth injectant hors DOM, neutralisant keyloggers et DOM-attacks.

⮞ Résumé

PassCypher NFC HSM incarne le Zero Trust (validation physique requise) et le Zero Knowledge (aucun secret exposé). Une sauvegarde d’identité matérielle by design, neutralisant clickjacking, BITB, typosquatting, keylogging, spoofing IDN, injections DOM, clipboard hijacking et anticipant les attaques quantiques.

✪ Attaques neutralisées par PassCypher NFC HSM

Type d’attaque Description Statut avec PassCypher
Clickjacking / UI Redressing Iframes invisibles ou overlays Neutralisé (EviBITB)
BITB Faux cadres simulant fenêtres d’authentification Neutralisé (sandbox + appairage)
Keylogging Capture des frappes Neutralisé (HID BLE)
Typosquatting URLs imitant des sites légitimes Neutralisé (validation physique)
Homograph Attack (IDN) Substitution Unicode pour tromper l’utilisateur Neutralisé (Zero-DOM)
Injection DOM / DOM XSS Scripts injectés dans le DOM Neutralisé (hors-DOM)
Clipboard hijacking Interception du presse-papier Neutralisé (pas d’usage clipboard)
Extensions malveillantes Plugins compromis Neutralisé (pairing + sandbox)
Attaques quantiques (anticipées) Calculs massifs visant à casser les clés Atténué (clés segmentées + AES-256 CBC + PGP)

SeedNFC + HID Bluetooth — Injection sécurisée des wallets

Les wallets web reposent sur le DOM — et c’est précisément là qu’on les piège. Avec SeedNFC HSM, la logique s’inverse : les clés privées et seed phrases ne quittent jamais l’enclave. Pour initialiser ou restaurer un wallet, l’entrée se fait via une émulation HID Bluetooth — comme un clavier matériel — sans presse-papier, sans DOM, sans trace pour saisir les clés privées, publiques ou credentials de hot wallets.

Flux opérationnel (anti-DOM, anti-clipboard) :

  • Custodie : la seed/clé privée est chiffrée et stockée dans SeedNFC HSM (jamais exportée).
  • Activation physique : présentation sans contact via l’appli Freemindtronic (Android NFC).
  • Injection HID BLE : la seed est dactylographiée directement dans le champ du wallet, hors DOM et hors clipboard, résistante aux keyloggers logiciels.
  • Protection BITB : EviBITB peut être activé côté appli pour neutraliser overlays lors de l’onboarding.
  • Éphémérité : les données résident seulement en RAM volatile durant la frappe HID puis sont effacées.

Cas d’usage :

  • Onboarding / recovery de wallets (MetaMask, Phantom) sans exposer la clé privée au navigateur.
  • Opérations sensibles sur poste (air-gap logique) avec validation physique par l’utilisateur via NFC.
  • Sauvegarde multi-actifs : seed phrases et clés conservées offline, activation exclusivement physique et traçable.

⮞ Résumé

SeedNFC HSM + HID BLE injecte la clé directement dans le champ du wallet via un émulateur HID BLE, évitant clavier et presse-papier. Canal chiffré AES-128 CBC, activation physique NFC et anti-BITB activable : secrets confinés hors-DOM et hors portée des extensions malveillantes.

Scénarios d’exploitation & voies de mitigation

Les révélations de DEF CON 33 ne sont pas une fin : plusieurs évolutions sont probables :

  • Clickjacking piloté par IA : LLMs génèrent des overlays DOM en temps réel, rendant les hameçonnages DOM + Shadow-DOM plus scalables et crédibles.
  • Tapjacking mobile hybride : superposition d’apps et gestes invisibles pour valider des transactions ou exfiltrer OTP.
  • HSM post-quantique : mitigation long terme via ancrage matériel et gestion de clés résistantes au quantique — déplacer la frontière de sécurité dans des HSM certifiés plutôt que dans le navigateur.

⮞ Résumé

Les attaques futures contourneront les correctifs navigateur. La mitigation exige une rupture : ancrages matériels hors-ligne, planification HSM post-quantique et designs Zero-DOM plutôt que rustines logicielles.

Synthèse stratégique

Le clickjacking d’extensions DOM démontre que navigateurs et extensions ne sont pas des zones de confiance pour les secrets. Les correctifs réduisent le risque mais n’éliminent pas l’exposition structurelle.

La voie souveraine — trois priorités

  • Gouvernance : traiter extensions et moteurs d’autofill comme infrastructure critique — contrôles de dev, audits obligatoires, règles de divulgation d’incident.
  • Changement d’architecture : adopter Zero-DOM pour que les secrets ne transitent jamais par le navigateur ; exiger activation physique pour opérations sensibles.
  • Résilience matérielle : investir dans ancrages hardware et roadmaps HSM post-quantique pour éliminer les points de défaillance cloud/sync.

Doctrine — synthétique

  • Considérer tout secret touchant le DOM comme potentiellement compromis.
  • Privilégier validation physique (NFC, HID BLE, HSM) pour opérations à haute valeur.
  • Auditer et réguler la logique d’injection des extensions comme fonction critique.
Note réglementaire — CRA, NIS2 et cadres nationaux améliorent la résilience logicielle mais traitent peu les secrets intégrés au DOM. Les décideurs doivent combler cet angle mort en exigeant séparation prouvée UI ↔ flux secrets.

Glossaire

DOM (Document Object Model)

Représentation en mémoire de la structure HTML/JS d’une page web ; permet aux scripts d’accéder et de modifier les éléments de la page.

Shadow DOM

Sous-arbre DOM encapsulé utilisé pour isoler des composants (web components) ; il peut masquer des éléments au reste du document.

Clickjacking

Technique consistant à tromper un utilisateur pour qu’il clique sur des éléments masqués ou superposés (UI redressing).

DOM-Based Extension Clickjacking

Variante où une page malveillante combine iframes invisibles, Shadow DOM et redirections (ex. focus()) pour forcer une extension à injecter des secrets dans un formulaire factice.

Autofill / Auto-remplissage

Mécanisme des gestionnaires (extensions/applications) qui insère automatiquement identifiants, mots de passe ou codes dans des champs web.

Passkey

Clé d’authentification WebAuthn (basée sur clé publique) censée être résistante au phishing lorsqu’elle est stockée en local ou dans un secure element.

WebAuthn / FIDO

Standard d’authentification par clé publique (FIDO2) permettant des logins sans mot de passe ; son niveau de sécurité dépend du modèle de stockage (synchrone vs. device-bound).

TOTP / HOTP

Codes temporaires (OTP) générés par algorithme temporel (TOTP) ou compteur (HOTP) pour l’authentification à deux facteurs.

HSM (Hardware Security Module)

Module matériel sécurisé pour générer, stocker et utiliser des clés cryptographiques sans jamais exposer les clés en clair hors de l’enclave.

PGP (Pretty Good Privacy)

Standard de chiffrement hybride utilisant clés publiques/privées ; ici employé pour conteneurs chiffrés AES-256 CBC protégés par PGP.

AES-256 CBC

Algorithme de chiffrement symétrique (mode CBC) avec clé 256 bits — utilisé pour chiffrer les conteneurs de secrets.

Clés segmentées

Approche de fragmentation des clés (segments) pour renforcer la résistance aux attaques et faciliter l’assemblage sécurisé en RAM éphémère.

Mémoire volatile (RAM éphémère)

Zone où les secrets sont brièvement déchiffrés pour l’opération d’autofill, puis immédiatement effacés — aucune persistance sur disque ou DOM.

NFC (Near Field Communication)

Technologie sans contact utilisée pour activer physiquement un HSM et autoriser la libération d’un secret de manière locale et physique.

HID-BLE (Bluetooth Low Energy HID)

Mode d’émulation d’un clavier via BLE pour injecter des données directement dans un champ sans passer par le DOM ni le presse-papier.

Sandbox URL

Mécanisme liant chaque secret à une URL attendue stockée dans l’HSM ; si l’URL active ne correspond pas, l’autofill est bloqué.

Browser-in-the-Browser (BITB)

Attaque par imitation d’une fenêtre de navigateur (overlay) dans une iframe — trompe l’utilisateur en simulant un site ou une boîte d’authentification.

EviBITB

Moteur anti-BITB (serverless) qui détecte et détruit en temps réel iframes/overlays malveillants et valide le contexte UI de façon anonyme.

SeedNFC

Solution HSM matérielle pour la conservation des seed phrases/cles privées ; effectue l’injection hors-DOM via HID/NFC.

Iframe

Cadre HTML embarquant une autre page ; les iframes invisibles (opacity:0, pointer-events:none) sont souvent utilisées dans les attaques d’UI redressing.
focus()
Appel JavaScript qui place le focus sur un champ. Utilisé malicieusement pour rediriger des événements utilisateur vers des champs contrôlés par l’attaquant.

Overlay

Superposition visuelle (fenêtre/faux cadre) qui masque l’interface réelle et peut tromper l’utilisateur sur l’origine d’une action.

Exfiltration

Extraction non autorisée de données sensibles hors du dispositif ciblé (identifiants, TOTP, passkeys, clés privées).

Phishable

Qualifie un mécanisme (ex. passkeys synchronisées) susceptible d’être compromis par usurpation d’interface ou overlay — donc sujet au phishing.

Content-Security-Policy (CSP)

Politique web contrôlant ressources et origines ; utile mais insuffisante seule contre variantes avancées de clickjacking.

X-Frame-Options / frame-ancestors

En-têtes HTTP / directives CSP destinées à limiter l’inclusion en iframe ; contournables dans certains scénarios d’attaque avancés.

Keylogging

Capture malveillante des frappes clavier ; contournée par les injections HID sécurisées (pas de clavier logiciel ni de presse-papier).

Remarque : ce glossaire vise à uniformiser le vocabulaire technique employé dans la chronique. Pour les définitions normatives et les références standardisées, consultez OWASP, NIST et les RFC/standards FIDO/WebAuthn.

🔥 En bref : les patchs cloud aident, mais le hardware et les architectures Zero-DOM préviennent les défaillances de classe.

⮞ Remarque — Ce que cette chronique ne couvre pas :

Cet article ne fournit ni PoC exploitables, ni tutoriels pour reproduire des attaques DOM clickjacking ou passkey phishing. Il n’analyse pas non plus l’économie des cryptomonnaies ni des cas juridiques spécifiques hors UE. Objectif : expliquer les failles structurelles, quantifier les risques systémiques et proposer les contre-mesures matérielles Zero-DOM robustes. Pour détails d’implémentation, voir §Contre-mesures souveraines et sections produit.

Transparence & affiliation — Freemindtronic est l’éditeur des solutions PassCypher et SeedNFC recommandées dans cette chronique. Nous les citons car elles répondent précisément au risque décrit : Zero-DOM (secrets hors DOM/processus navigateur), contrôle physique de l’utilisateur (NFC/HSM), et injection sécurisée (HID/BLE) limitant l’exfiltration par RCE, redressing UI ou BITB. Cette mention n’altère pas notre analyse, sourcée sur des bulletins officiels.
Objectif : permettre au lecteur d’évaluer en toute connaissance de cause d’éventuels conflits d’intérêts.

SeedNFC HSM Products Warranty

Futuristic padlock symbolizing the SeedNFC HSM Products Warranty with digital circuitry in the background, representing security and protection.

SeedNFC HSM Products Warranty

Freemindtronic guarantees that all SeedNFC HSM products are free from hidden defects, manufacturing faults, and non-conformities. This warranty protects you under specific conditions and complies with all applicable laws.

Manufacturer Identification

Freemindtronic SL is based at 14 Avenue Copríncep de Gaulle, AD700 Escaldes-Engordany, Principality of Andorra. The company is registered in the Trade and Companies Register of Andorra under registration number 16501.

What the SeedNFC HSM Products Warranty Covers

Freemindtronic guarantees that SeedNFC HSM products do not have hidden defects or manufacturing faults. We ensure that our products, including all components, meet high standards of quality. This warranty applies under normal usage as specified in the user manual.

Warranty Period

The SeedNFC HSM Products Warranty starts on the date of the original purchase. It lasts for two (2) years for professional customers and three (3) years for individual customers. You may activate the manufacturer’s warranty after all commercial or contractual remedies from the seller have been exhausted. If the seller no longer exists, the warranty also applies. You can view the seller’s terms and conditions here.

Additionally, we warrant that any replaced product, part, or component is free from defects for thirty (30) days from the replacement date. This coverage will extend to the end of the original warranty period if that time is longer.

Consumer Protection

This warranty applies only to the original purchaser and is non-transferable. Products purchased second-hand or in a non-new condition are not covered.

We assume no responsibility for incidental or consequential damages, including loss of profits or business opportunities. The warranty limits our liability strictly to the product itself. Freemindtronic reserves the right to improve or modify the products without any obligation to update products previously sold.

Intellectual Property Protection

SeedNFC HSM products are protected by international patents, including WO2018/154258 and WO2017/129887. These patents are valid in the USA, Europe, China, South Korea, Japan, and Algeria. Additionally, products are safeguarded by copyrights and Soleau envelopes.

It is the customer’s responsibility to ensure that the seller holds valid licenses from the manufacturer. If not, the customer may unknowingly purchase counterfeit products.

Software Usage License

Freemindtronic grants you a personal, non-transferable, and non-exclusive worldwide license to use the software associated with the SeedNFC HSM products. This license allows you to use the product and its functionalities.

You may not copy, modify, or distribute any part of the software. Additionally, you cannot decompile or attempt to extract the software’s source code. Decompiling is only allowed under specific legal mandates or with prior approval from Freemindtronic.

Eligibility for the SeedNFC HSM Products Warranty

To benefit from the SeedNFC HSM Products Warranty, you or the seller must adhere to the following conditions:

  • Do not reproduce or allow others to reproduce any part of the product.
  • Do not disclose information that could lead to the reproduction of the product.
  • Do not engage in the sale of counterfeit products.
  • Follow all applicable laws regarding the import, sale, and use of cryptographic technologies.
  • Do not export SeedNFC HSM products to regions where export control laws prohibit it without the appropriate licenses.

Failure to meet these conditions could result in legal action.

Warranty Limitations and Technical Specifications

Freemindtronic makes no specific promises regarding product features, performance, or compatibility for specific uses. All SeedNFC HSM products are sold “as is.” You are responsible for using the product in accordance with the user manual.

Cold Wallet and Hardware Wallet Specifications

SeedNFC HSM products may include cold wallet and hardware wallet functionalities. These products allow users to access their cryptocurrency balances securely. However, SeedNFC HSM does not support signing transactions. You can use the private and public keys stored on the NFC HSM device to view balances and check account information. At no point do your private keys leave the device.

  • Private Key Protection: SeedNFC HSM securely generates and stores your private keys locally. These keys are never exposed to the internet.
  • Unique Pairing Key: Each SeedNFC HSM product comes with a unique pairing key. You must provide this key for any after-sales service requests. Without it, Freemindtronic will not be able to process your service request.
  • Black Box System: The product features a black box that records key events, including first use and administrator password attempts.
  • Trust Criteria for Data Protection: Before sending your device for service, you must delete all personal data or lock access using trust criteria like passwords or geolocation. These measures ensure that even the manufacturer cannot access sensitive information during service.

Specific Exclusions for Cold Wallets and Hardware Wallets

The SeedNFC HSM Products Warranty does not cover:

  • Loss or theft of cryptocurrency stored on the device.
  • User mismanagement of private keys.
  • Recovery of private keys or cryptocurrency if data is lost or deleted.

Warranty Service Procedure

To request warranty service for your SeedNFC HSM product:

  1. Contact the seller’s support team via this link.
  2. Follow the Return Merchandise Authorization (RMA) process and obtain a return code.
  3. Provide the unique pairing key and send the product to the seller for inspection.

Before shipping the product, ensure you have backed up or locked your personal data to protect it during service.

Applicable Law and Jurisdiction

These warranty conditions are governed by the laws of the Principality of Andorra. Any disputes arising from this warranty will be exclusively settled by the Andorran courts. If you violate or threaten to violate our intellectual property rights, we reserve the right to seek injunctive relief in any court of our choice.

Key Definitions

  • Customer: The individual or entity that purchases a SeedNFC HSM product.
  • Hidden Defect: A defect that is not immediately visible but renders the product unfit for use, or greatly reduces its usefulness, that the customer would not have purchased or would have paid less for the product if they had known about the defect.
  • SeedNFC HSM Brand: Refers to the owner or legally authorized company using the SeedNFC HSM trademark.
  • Professional Customer: A person or entity who purchases SeedNFC HSM products for business, industrial, or professional activities.
  • Manufacturer: Freemindtronic SL, which guarantees the products manufactured under the SeedNFC HSM brand.
  • Non-Conformity: A product that does not meet its description or has manufacturing defects.