EN FR DE
MAIN MENU
Solutions

Paquets d'installation

Gestion de bureaux à distance
et opérations TI

La gestion d'un grand éventail d'outils et de technologies de connexions à distance à partir d'une seule plateforme centralisée augmente la productivité, réduit les coûts et renforce la sécurité.

Gestion des mots de passe pour les équipes

Une bonne solution de gestion de mots de passe peut vous aider à améliorer votre stratégie relative à la sécurité sans nuire à votre productivité.

Gestion des accès
privilégiés

Réduisez les risques d'attaques de l'intérieur et de cyberattaques tout en satisfaisant les exigences en matière de vérification et de conformité.

Gestion des accès
à distance

Créez un point d'entrée sécurisé pour les réseaux segmentés internes ou externes qui nécessitent un accès autorisé juste à temps (JAT).

Automatisation informatique avec PowerShell Universal

Simplifiez les tâches informatiques routinières et améliorez la productivité grâce à des scripts, une orchestration et des rapports intégrés.

Devolutions
Remote Desktop Manager gratuit

Le meilleur outil de gestion des connexions à distance et des identifiants tout-en-un pour les utilisateurs informatiques indépendants

blue box
Starter Pack

Toute la puissance de Devolutions à moitié prix pour les équipes de 5

Preuve de concept : 100+ utilisateurs?

Vue d'ensemble rapide

Intégrations

Unifiez vos solutions avec les intégrations qu'offre Devolutions

Comparer nos forfaits de solutions Obtenir un devis
Produits
Produits
Devolutions
Remote Desktop Manager

Le meilleur gestionnaire de connexions à distance de l'industrie

Devolutions Workspace

Tous vos mots de passe et identifiants professionnels, centralisés

UniGetUI
UniGetUI New

Découvrez, installez et mettez à jour tous vos paquets Windows

Devolutions PowerShell Universal
Devolutions PowerShell Universal

Automatisez la gestion à distance avec des tableaux de bord et des API

Accès privilégié
Devolutions PAM

Sécurisez, effectuez la rotation et auditez chaque compte privilégié de votre infrastructure

Coffres
Devolutions Server Self-hosted
Gestionnaire d'identifiants auto-hébergé
Devolutions Hub Business Cloud-hosted
Gestionnaire de mots de passe infonuagique
Companion tools
Devolutions Gateway
Devolutions Gateway Accès à distance sécurisé — aucun VPN requis
Devolutions Launcher
Devolutions Launcher Outil de lancement de connexions à distance
Devolutions Agent
Devolutions Agent Service système pour contrôler les opérations privilégiées
Service en ligne
Devolutions Send
Devolutions Send Envoyez des informations sensibles en toute sécurité — aucun compte requis
Découvrir Remote Desktop Manager gratuit Voir plus d'outils gratuits pour les utilisateurs individuels
Ressources
Ressources
Académie Devolutions

Votre centre GRATUIT pour maîtriser la suite de produits et services Devolutions.

Forum Devolutions

Le Forum Devolutions est l'endroit où aller pour vous connecter avec vos pairs et l'équipe Devolutions.

Documentation Devolutions

Obtenez des réponses sur les spécifications, paramètres et plus dans notre documentation.

Blogue Devolutions

Restez à jour avec nos articles hebdomadaires sur notre blogue, la boîte à outils pour votre succès informatique.

Lab à la demande
Témoignages de réussite
Rapports et documents techniques
Devolutions Force
Apprenez un conseil rapide en 5 minutes! Parcourir les demandes de fonctionnalités
Compagnie
À propos
DevolutionsFil du tempsCulture
Médias
Logos de DevolutionsFonds d'écran
Carrières
BienvenuePostes disponiblesCandidature spontanée
Salle de presse
Communiqués de presseInfolettresDans les médias
Sécurité et conformité
SécuritéAvisCentre de confianceLégal & vie privéeSignaler un problème de sécurité
Coordonnées
Envoyer un message Envoyer un message Appelez-moi Appelez-moi
Soutien technique Ventes Coordonnées
Le blogue Devolutions

Annonces, mises à jour et analyses de Devolutions

Nouvelles
Clickjacking devolutions blog

Clickjacking basé sur le DOM dans les extensions : ce que les utilisateurs de Workspace doivent savoir

Un nouveau détournement de clics basé sur le DOM cible les extensions de mots de passe. Workspace est déjà protégé avec des défenses renforcées.

Photo of Mathieu Morrissette Mathieu Morrissette

En cybersécurité, même les « anciennes » menaces trouvent une façon de se réinventer. C’est exactement ce qui s’est produit à DEF CON 33 (9 août 2025), où le chercheur Marek Tóth a présenté une nouvelle technique de clickjacking basé sur le DOM dans les extensions pouvant impacter plusieurs extensions de gestionnaires de mots de passe.

La bonne nouvelle? Remote Desktop Manager (RDM) n’est pas concerné, et l’extension navigateur Workspace est déjà renforcée avec de nouvelles protections. Voyons ensemble ce qui s’est passé, ce que nous avons fait et ce que vous pouvez faire pour rester en sécurité.

Résumé rapide

Ce qui s’est passé à DEF CON

Lors de sa présentation, Marek Tóth a montré comment des attaquants pouvaient piéger des utilisateurs en les amenant à cliquer sur une interface invisible de l’extension intégrée dans une page web. Ces clics légitimes — par exemple fermer une boîte de dialogue — pouvaient déclencher involontairement un remplissage automatique.

La recherche a été communiquée de manière responsable à certains éditeurs en avril 2025, puis rendue publique en août 2025. Comme Workspace ne figurait pas dans la liste des « meilleurs gestionnaires de mots de passe » de PCMag (l’échantillon testé par le chercheur), nous n’avons pas été initialement notifiés.

La couverture médiatique a rapidement suivi :

Quels produits Devolutions sont affectés?

Comment fonctionne l’attaque

L’attaque repose sur de vrais clics utilisateurs. Un attaquant peut rendre l’interface de l’extension invisible mais toujours cliquable. Ainsi, lorsqu’un clic tombe sur cette interface cachée, le remplissage automatique peut se déclencher.

Comme le clic est authentique, les vérifications du navigateur (comme event.isTrusted) passent quand même. Le chercheur a documenté plusieurs techniques :

À noter : le risque est plus élevé si un attaquant prend le contrôle d’un sous-domaine d’un site pour lequel vous avez des identifiants (ex. via XSS ou prise de contrôle de sous-domaine).

Évaluation du risque pour Workspace

Workspace avait déjà une longueur d’avance :

Cela dit, puisque la manipulation du DOM peut encore tromper les utilisateurs, nous avons ajouté des protections supplémentaires en défense en profondeur.

Ce que nous avons changé

Nous avons ajouté deux mécanismes clés dans l’extension navigateur Workspace :

  1. Détection de falsification d’opacité/visibilité

    • Si l’UI de remplissage automatique est rendue transparente ou cachée par la page, Workspace la ferme immédiatement et refuse de remplir.

  2. Détection d’occlusion de la couche supérieure

    • Si un autre élément recouvre le menu de remplissage automatique, Workspace ferme l’UI et bloque le remplissage.

En résumé : si Workspace ne peut pas confirmer que l’UI est visible de manière sécurisée, il ne remplira pas.

Ce que vous devez faire

Pour réduire les risques, voici nos recommandations :

  1. Mettre à jour l’extension Workspace vers la dernière version (2025.2.5.0 et plus).
  2. Laisser le « remplissage automatique au chargement » désactivé (par défaut). Ne l’activez que si absolument nécessaire. En savoir plus
  3. Utiliser une correspondance plus stricte des URL (ex. Exacte pour les consoles d’administration). En savoir plus
  4. Étape avancée optionnelle : configurer l’extension dans Chrome/Edge pour un accès « au clic » aux sites sensibles. Marek Tóth
  5. Pratiquer une bonne hygiène de navigation : mettre à jour vos navigateurs/extensions régulièrement, éviter les superpositions douteuses, et ne pas installer d’extensions non fiables.

Chronologie

Notre analyse

Cette recherche rappelle que le clickjacking n’est pas mort — il évolue. Toute extension qui injecte une UI dans des pages web arbitraires reste exposée aux risques liés à un DOM et CSS hostiles.

Nos mesures rendent Workspace plus résilient, mais la correction à long terme doit venir du navigateur lui-même (par ex. APIs fiables pour empêcher l’occlusion de l’UI). Nous soutenons cette direction et continuerons de nous adapter.

Une note sur le remplissage automatique au chargement

Cette fonctionnalité est désactivée par défaut — et nous recommandons vivement de la laisser ainsi. Si un site de confiance est compromis, le remplissage automatique au chargement pourrait transmettre vos identifiants à votre insu. Activez-le uniquement si vous avez un besoin clair et contrôlé.

Remerciements

Un grand merci à Marek Tóth pour ses recherches et sa divulgation responsable. Pour une analyse technique complète et les réponses des éditeurs, consultez son article détaillé.

Restez informés

Dernières réflexions

Les recherches en sécurité comme celle-ci nous rappellent que les menaces évoluent — et les défenses aussi doivent évoluer. Nous sommes fiers que les paramètres plus sûrs de Workspace aient déjà offert une protection, et nous sommes allés plus loin avec de nouveaux mécanismes pour protéger nos utilisateurs.

Comme toujours, gardez vos extensions à jour, suivez nos bonnes pratiques, et continuons à bâtir ensemble une sécurité renforcée.

More from Nouvelles

Read more articles