Clickjacking basé sur le DOM dans les extensions : ce que les utilisateurs de Workspace doivent savoir

En cybersécurité, même les « anciennes » menaces trouvent une façon de se réinventer.
C’est exactement ce qui s’est produit à DEF CON 33 (9 août 2025), où le chercheur Marek Tóth a présenté une nouvelle technique de clickjacking basé sur le DOM dans les extensions pouvant impacter plusieurs extensions de gestionnaires de mots de passe.

La bonne nouvelle? Remote Desktop Manager (RDM) n’est pas concerné, et l’extension navigateur Workspace est déjà renforcée avec de nouvelles protections.
Voyons ensemble ce qui s’est passé, ce que nous avons fait et ce que vous pouvez faire pour rester en sécurité.

Résumé rapide

• Une nouvelle attaque de clickjacking basé sur le DOM dans les extensions a été démontrée publiquement par Marek Tóth.
• RDM pour poste de travail et les applications desktop/mobile de Workspace ne sont pas affectés.
• L’extension navigateur Workspace a été impactée, mais nous avons rapidement déployé des mesures de protection en couches :
  • Détection de falsification d’opacité/visibilité
  • Vérification d’occlusion de la couche supérieure (Popover)
• Les paramètres par défaut plus sûrs de Workspace réduisent déjà les risques :
  • Le remplissage automatique au chargement de la page est DÉSACTIVÉ par défaut
  • Correspondance des URL au niveau de l’hôte activée par défaut
• Ce que vous devez faire : mettre à jour l’extension Workspace, garder le « remplissage automatique au chargement » désactivé sauf nécessité, et envisager une correspondance plus stricte des URL pour les sites sensibles.

Ce qui s’est passé à DEF CON

Lors de sa présentation, Marek Tóth a montré comment des attaquants pouvaient piéger des utilisateurs en les amenant à cliquer sur une interface invisible de l’extension intégrée dans une page web.
Ces clics légitimes — par exemple fermer une boîte de dialogue — pouvaient déclencher involontairement un remplissage automatique.

La recherche a été communiquée de manière responsable à certains éditeurs en avril 2025, puis rendue publique en août 2025.
Comme Workspace ne figurait pas dans la liste des « meilleurs gestionnaires de mots de passe » de PCMag (l’échantillon testé par le chercheur), nous n’avons pas été initialement notifiés.

La couverture médiatique a rapidement suivi :

• SecurityWeek
• The Hacker News

Quels produits Devolutions sont affectés?

• Remote Desktop Manager (Windows/macOS/Linux) : Non affecté
• Applications desktop & mobile Workspace : Non affectées
• Extension navigateur Workspace : Impactée, mais corrigée avec de nouveaux mécanismes de protection

Comment fonctionne l’attaque

L’attaque repose sur de vrais clics utilisateurs.
Un attaquant peut rendre l’interface de l’extension invisible mais toujours cliquable. Ainsi, lorsqu’un clic tombe sur cette interface cachée, le remplissage automatique peut se déclencher.

Comme le clic est authentique, les vérifications du navigateur (comme event.isTrusted) passent quand même.
Le chercheur a documenté plusieurs techniques :

• Modification de l’opacité/visibilité
• Superposition via l’API Popover (UI de couche supérieure)
• Manipulation des événements de pointeur

À noter : le risque est plus élevé si un attaquant prend le contrôle d’un sous-domaine d’un site pour lequel vous avez des identifiants (ex. via XSS ou prise de contrôle de sous-domaine).

Évaluation du risque pour Workspace

Workspace avait déjà une longueur d’avance :

• Le remplissage automatique au chargement est DÉSACTIVÉ par défaut.
  Le remplissage automatique requiert une action explicite de l’utilisateur (clic ou raccourci).
  En savoir plus

• Correspondance d’URL au niveau de l’hôte.
  Par défaut, Workspace exige une correspondance au niveau de l’hôte, ce qui limite l’exposition entre sous-domaines.
  En savoir plus

Cela dit, puisque la manipulation du DOM peut encore tromper les utilisateurs, nous avons ajouté des protections supplémentaires en défense en profondeur.

Ce que nous avons changé

Nous avons ajouté deux mécanismes clés dans l’extension navigateur Workspace :

1. Détection de falsification d’opacité/visibilité

   • Si l’UI de remplissage automatique est rendue transparente ou cachée par la page, Workspace la ferme immédiatement et refuse de remplir.

2. Détection d’occlusion de la couche supérieure

   • Si un autre élément recouvre le menu de remplissage automatique, Workspace ferme l’UI et bloque le remplissage.

En résumé : si Workspace ne peut pas confirmer que l’UI est visible de manière sécurisée, il ne remplira pas.

Ce que vous devez faire

Pour réduire les risques, voici nos recommandations :

1. Mettre à jour l’extension Workspace vers la dernière version (2025.2.5.0 et plus).
2. Laisser le « remplissage automatique au chargement » désactivé (par défaut). Ne l’activez que si absolument nécessaire.
   En savoir plus
3. Utiliser une correspondance plus stricte des URL (ex. Exacte pour les consoles d’administration).
   En savoir plus
4. Étape avancée optionnelle : configurer l’extension dans Chrome/Edge pour un accès « au clic » aux sites sensibles. Marek Tóth
5. Pratiquer une bonne hygiène de navigation : mettre à jour vos navigateurs/extensions régulièrement, éviter les superpositions douteuses, et ne pas installer d’extensions non fiables.

Chronologie

• Avril 2025 : Divulgation privée à certains éditeurs
• 9 août 2025 : Présentation DEF CON & publication du blog
• Fin août 2025 : Couverture médiatique dans l’industrie
• 26 août 2025 : Correctif interne de l’extension Workspace
• 8 septembre 2025 : Publication publique de la version corrigée (2025.2.5.0)

Notre analyse

Cette recherche rappelle que le clickjacking n’est pas mort — il évolue.
Toute extension qui injecte une UI dans des pages web arbitraires reste exposée aux risques liés à un DOM et CSS hostiles.

Nos mesures rendent Workspace plus résilient, mais la correction à long terme doit venir du navigateur lui-même (par ex. APIs fiables pour empêcher l’occlusion de l’UI).
Nous soutenons cette direction et continuerons de nous adapter.

Une note sur le remplissage automatique au chargement

Cette fonctionnalité est désactivée par défaut — et nous recommandons vivement de la laisser ainsi.
Si un site de confiance est compromis, le remplissage automatique au chargement pourrait transmettre vos identifiants à votre insu.
Activez-le uniquement si vous avez un besoin clair et contrôlé.

Remerciements

Un grand merci à Marek Tóth pour ses recherches et sa divulgation responsable.
Pour une analyse technique complète et les réponses des éditeurs, consultez son article détaillé.

Restez informés

• Recevez nos avis de sécurité : Abonnez-vous ici
• Signalez une vulnérabilité : Visitez notre page sécurité

Dernières réflexions

Les recherches en sécurité comme celle-ci nous rappellent que les menaces évoluent — et les défenses aussi doivent évoluer.
Nous sommes fiers que les paramètres plus sûrs de Workspace aient déjà offert une protection, et nous sommes allés plus loin avec de nouveaux mécanismes pour protéger nos utilisateurs.

Comme toujours, gardez vos extensions à jour, suivez nos bonnes pratiques, et continuons à bâtir ensemble une sécurité renforcée.