Accueil Centre d'aide administrateur

Avis de sécurité : Problème de clickjacking dans la boîte de dialogue de clé d'accès

Pour tous les plans

Avis de sécurité : Problème de clickjacking dans la boîte de dialogue de clé d'accès

Printer icon
Publié le 9 août 2025

Aperçu

Dashlane a corrigé un problème de clickjacking qui, dans certaines conditions, aurait pu permettre à un attaquant de manipuler un utilisateur pour qu'il procède sans le savoir à une connexion avec une clé d'accès dans un domaine légitime.

Le problème a été signalé à Dashlane par un chercheur en sécurité externe le 28 juillet 2025 et corrigé pour tous les clients le 1er août 2025, dans la version v6.2531.1 de Dashlane.

Dashlane n'a reçu aucun rapport indiquant que ce problème a été exploité.

Produits concernés

Ce problème concerne toutes les versions de l'extension du navigateur Dashlane antérieures à v6.2531.1 (1er août 2025). L'extension du navigateur Dashlane v6.2531.1 empêche l'exploitation de ce problème.

Les applications mobiles Dashlane ne sont pas concernées par ce problème.

Actions recommandées

Si vous utilisez une version concernée de l'extension du navigateur Dashlane, mettez à jour vers la dernière version.

Description

Dashlane offre une authentification par clé d'accès, qui permet à un utilisateur d'enregistrer des clés d'accès dans Dashlane et de les utiliser pour se connecter au domaine tiers lié à la clé d'accès.

Si un utilisateur visitait un site Web légitime pour lequel il avait une clé d'accès et que ce domaine était vulnérable à l'injection de JavaScript, le problème pourrait permettre à un attaquant de superposer un élément de page HTML sur la boîte de dialogue de la fenêtre contextuelle de connexion avec clé d'accès de Dashlane. Si l'utilisateur cliquait sur l'élément de page de l'attaquant, l'utilisateur procéderait à son insu à une connexion avec clé d'accès sur ce site Web légitime.

Exploiter ce problème est complexe et nécessite que l'attaquant :

  1. Trouvez un domaine tiers légitime pour lequel un utilisateur Dashlane avait une clé d'accès. Les clés d'accès sont spécifiques à des domaines individuels, et la fenêtre contextuelle de connexion avec clé d'accès de Dashlane n'apparaîtrait que sur un domaine où une clé d'accès a été enregistrée.
  2. Ce domaine tiers légitime devrait présenter une vulnérabilité d'injection JavaScript, comme une XSS (Cross-Site Scripting), qui permettait à l'attaquant d'injecter ses propres éléments de page sur le site Web.

Impact

Si un utilisateur se connectait au domaine légitime mais vulnérable, l'attaquant pourrait alors exploiter les vulnérabilités de ce site Web pour obtenir un accès non autorisé au compte de l'utilisateur sur ce site Web. Dans ce scénario, les clés d'accès elles-mêmes resteraient sécurisées et ne seraient pas exposées.

Acknowledgements

Le problème a été signalé à Dashlane par Marek Tóth. Nous remercions Marek d'avoir porté ce problème à notre attention et pour son partenariat lors de la résolution de ce problème.

Réalisé par Zendesk