← Retour au blog
·7 min de lecture

Comment les extensions navigateur peuvent voler vos mots de passe — et comment SandPass l'empêche

Les extensions navigateur sont puissantes — elles peuvent lire et modifier chaque page que vous visitez, intercepter les requêtes réseau et accéder à des données sensibles. Cela rend les extensions de gestionnaires de mots de passe à la fois incroyablement utiles et potentiellement dangereuses.

La surface d'attaque

Une extension navigateur typique a accès à :

  • Le contenu des pages : Chaque élément DOM, chaque champ de formulaire, chaque texte sur n'importe quel site
  • Les requêtes réseau : Les extensions peuvent intercepter, modifier ou bloquer les requêtes HTTP
  • Le stockage : Stockage local, cookies et données IndexedDB
  • Le presse-papiers : Lecture et écriture dans le presse-papiers système

Cela signifie qu'une extension malveillante — ou une extension légitime compromise — pourrait voler chaque mot de passe que vous tapez.

Comment la plupart des gestionnaires injectent les identifiants

La plupart des gestionnaires injectent un menu de remplissage directement dans le DOM de la page. Cela crée des vulnérabilités :

  • Espionnage DOM : Le JavaScript du site peut observer les mutations du DOM et lire les valeurs injectées
  • Attaques CSS : Du CSS astucieux peut créer des éléments invisibles capturant les données auto-remplies
  • Écouteurs d'événements : La page peut écouter les événements d'entrée pour capturer les valeurs

Le Shadow DOM fermé de SandPass

SandPass affiche son menu de remplissage dans un Shadow DOM fermé. C'est un mécanisme d'isolation natif du navigateur qui empêche :

  • La page hôte d'accéder à la structure interne du Shadow DOM
  • Le CSS de la page d'affecter l'apparence du menu
  • Le JavaScript de la page de lire les valeurs d'identifiants avant leur placement dans les champs

Aucun autre grand gestionnaire n'utilise actuellement le Shadow DOM fermé pour le remplissage automatique.

Content Security Policy

SandPass applique une CSP stricte :

script-src 'self' 'wasm-unsafe-eval'; object-src 'none'
  • Aucun script inline ne peut s'exécuter (prévient les XSS)
  • Aucun script externe ne peut être chargé (prévient les attaques de chaîne d'approvisionnement)
  • Le WASM est autorisé uniquement pour Argon2id et OPAQUE

Vérification de domaine (protection anti-phishing)

Avant le remplissage automatique, SandPass vérifie que le domaine du site correspond au domaine stocké via la correspondance eTLD+1 :

  • login.google.com correspond aux identifiants de google.com
  • google.evil-site.com ne correspond PAS
  • g00gle.com (typosquatting) ne correspond PAS

Clés cryptographiques non-extractibles

SandPass utilise l'API Web Crypto avec extractable: false. Les clés :

  • Existent uniquement dans le magasin de clés sécurisé du navigateur
  • Ne peuvent pas être exportées, même par le JavaScript de l'extension
  • Sont liées au profil du navigateur et ne peuvent pas être clonées

Ce que vous pouvez faire

  1. Auditez vos extensions. Allez sur chrome://extensions et vérifiez les permissions
  2. Supprimez les extensions inutilisées. Chaque extension est une surface d'attaque
  3. Utilisez un gestionnaire qui prend l'isolation au sérieux. Cherchez Shadow DOM, CSP stricte et permissions minimales