Mauvaise surprise pour les utilisateurs de gestionnaires de mots de passe Android : des chercheurs viennent de révéler une vulnérabilité baptisée AutoSpill qui toucherait 6 logiciels majeurs du secteur. De quoi potentiellement faciliter les fuites de données personnelles.
Le talon d’Achille des apps de gestion de mots de passe
Cette faille AutoSpill intervient lorsque la fonctionnalité de remplissage automatique d’un gestionnaire de mots de passe interagit avec WebView, composant Android qui affiche des pages web. En partageant les identifiants avec WebView, ceux-ci peuvent aussi être transmis à l’application tierce à l’origine de leur demande.
Si cette application n’est pas fiable, elle pourrait alors exploiter ces mots de passe et données récupérées sans votre consentement. Un vrai danger quand la sécurité numérique repose justement sur ces outils censés protéger vos informations sensibles.
Les gestionnaires de mots de passe populaires touchés
Pas moins de 6 gestionnaires de mots de passe très utilisés sous Android sont concernés par cette faille AutoSpill : 1Password, LastPass, Enpass, Keeper, Keepass2Android et même Google Smart Lock. L’application Dashlane n’est pas épargnée non plus si les données sont partagées via injection JavaScript.
Bref, un véritable qui-est-qui des références du secteur, utilisées par des millions d’utilisateurs. Difficile dans ces conditions de considérer ses mots de passe comme parfaitement à l’abri sur Android.
Comment réagir pour sécuriser ses données ?
Heureusement, quelques réflexes simples permettent de minimiser les risques liés à AutoSpill :
- maintenir Android, les applications et surtout WebView à jour via le Google Play Store ;
- penser à appliquer toutes les mises à jour système proposées ;
- choisir un gestionnaire de mots de passe open source réputé fiable.
Cette affaire rappelle qu’en sécurité informatique, la vigilance doit rester de mise en permanence.
Lire plus d’articles sur DigiTechnologie :
– L’UE veut réguler l’Intelligence Artificielle, cliquez-ici
– Le fonctionnement de l’arnaque à l’écran noir, cliquez-ici
– ChatGPT et les risques liés à la protection des data, cliquez-ici