Merci beaucoup :)

Merci beaucoup 😊 Oui c'est vrai, je prévois de faire une vidéo qui parlera plus en détail des XSS et de comment les corriger et les éviter.

Avec plaisir :)

Merci :) En fait ce qui pose problème c'est que le formulaire soit rempli automatiquement. Si la vulnérabilité XSS était sur la même page que le formulaire, on pourrait effectivement attendre que l'utilisateur saisisse son mot de passe et ça fonctionnerait également. La vidéo couvre le cas ou la XSS est sur une autre page et où on va créer nous-mêmes, via la XSS, un formulaire de connexion qu'on va cacher, mais que le gestionnaire va voir. Là, si le remplissage automatique est activé, on est quasiment sûr de récupérer les identifiants, et c'est ça qui rend le remplissage automatique plus dangereux que le remplissage manuel. Après de toute façon si une XSS stockée est présente sur le site, on peut faire plein d'autres choses, là c'est qu'un exemple d'exploitation parmi d'autres. J'espère que c'est plus clair.

Oui oui, très clair. Merci encore pour tout.

Je n'utilise pas Dashlane personnellement, mais sur 1Password il faut cliquer sur un bouton pour que les identifiants soient renseignés, ils ne se renseignent pas tout seuls. Si c'est pareil sur Dashlane alors il n'y a pas de soucis, mais c'est à tester. Je sais qu'à l'époque où j'utilisais LastPass il fallait désactiver l'option pour éviter qu'il ne remplisse tout seul les identifiants.

@@Secureaks Sur Bitwarden aussi, l'autocomplétion n'est pas activée par défaut. Il faut selectionner l'id via un bouton en surimpression.

@@Secureaks Pour Firefox, l'option à désactiver est "Remplir automatiquement les noms d'utilisateurs et mots de passes" dans la section "Vie privée et sécurité" des paramètres.

@@Secureaks C'est pareil sur Dashlane et sur Keepass ;-)

C'est une bonne question, je ne sais pas si le lecteur d'écran détecte un élément qui est en "display: none", mais de toute façon ce n'est pas vraiment important pour un attaquant. Dans ces cas là il va essayer d'être le plus discret possible mais s'il ne l'est pas ça ne l’empêchera pas de tout de même voler des identifiants.

@@Secureaks ahah oui en effet. après me demandais si nos techno d'assistance ne pouvaient pas être alors détournée pour renforcer la sec du site du coup. un peu comme dans les soft anti plagia qui pouvaient longtemps être trompés par l'ajout de caractère dont on change l'apparence pour les rendre invisible à l'oeil (mais qui n'auraient pas échapés à un lecteur automatique.)

btoa : Encodage en base64 atob : Decodage de base64 Je ne savais pas qu'il y avait d'autres méthodes pour cela 😂 J'aimerais bien voir ces libs.

Bonne idée je note 😉

Hello ! Dans ce cas de figure, l'attaquant ne peut récupérer que les identifiants du site sur lequel il se trouve et uniquement si le remplissage automatique est activé.

@@Secureaks merci pour l'info

Bonjour, Le principe ici c'est que le gestionnaire de mot de passe (si le remplissage automatique est activé), peu importe que ce soit celui du navigateur ou un autre installé via un plugin, va remplir automatiquement le formulaire de connexion dès que la page s'affiche. Pour ça il va chercher les champs du formulaire et les remplir s'il les trouve. Donc un attaquant peut utiliser une XSS (si présente sur le site) pour voler les identifiants. Après effectivement, on peut simplement attendre que l'utilisateur saisisse ses identifiants pour les voler avec du JavaScript mais dans ce cas il faut que la vulnérabilité XSS se trouve sur la même page que le formulaire, et il faut que l'utilisateur se connecte. L'exemple dans la vidéo couvre le cas de figure ou le formulaire n'est pas sur la même page et en plus cela ne nécessite aucune interaction utilisateur (si ce n'est ouvrir la page piégée). La j'ai pris Firefox en exemple parce que justement c'est activé par défaut, mais l'idéal est simplement de désactiver le remplissage automatique quand il est activé. J'espère que c'est un peu plus clair avec ce pavé ;)

@@Secureaks Merci, réponse on ne peut plus claire 👍

@@Secureaks Par contre, de fait, une idée sur un gestionnaire de password qui serait vraiment fiable et gratuit ? Ou si on désactive le remplissage automatique de Firefox c'est suffisant ? 🤔(je viens de le désactiver ^^) Ah et, à tout hasard je me permets une 'tite question hors sujet, votre vidéo étant plutôt claire. Auriez-vous fait une vidéo sur le simswaping ? Une pratique certes pas trop courante en France mais qui deviendrait, apparemment, de moins en moins rare. Des moyens de s'en protéger efficacement ou toujours rien ? (j'avais vu la vidéo de Sandoz y a plusieurs mois qui n'est pas des plus rassurantes, si ça vous parle) Quand on voit que les applis des opérateurs types sfr etc n'ont pas de double authentification possible avec logiciel tiers :/ Marchi à nouveau pour votre superbe et sympathique réponse. Bientôt vous aurez trop d'abonnés (et c'est tout le mal que je vous souhaite 😁👍) pour passer du temps à ce genre de réponses de commentaires, alors j'en profite j'avoue hihihi ^^

​@@geronimoze Merci :) Honnêtement en gratuit je pense que les gestionnaires des navigateurs peuvent faire l'affaire si on désactive effectivement le remplissage automatique. Après le contenu du gestionnaire est peut-être plus facile à voler par un malware, mais il faudrait creuser le sujet. Personnellement j'utilise 1Password qui revient à environ 40€ par an. Pour ce qui est du simswapping je n’ai pas fait de vidéo dessus, mais c'est un bon sujet (je note). Et effectivement une des seules manières de s'en protéger selon moi, à part ce que peuvent éventuellement faire les opérateurs, c'est de ne pas utiliser son numéro comme double authentification, mais plutôt une application tierce comme Google Authenticator, mais effectivement il y a encore certains services pour lesquels on n’a pas le choix...

@@leothell Okay, merci pour cette nouvelle réponse :) Bon du coup, pour l'heure je vais continuer comme ça, n'ayant pas les moyens pour payer un énième abonnement à quelque chose ^^ Sinon donc vous dites bien pareil que ce que j'ai lu/vu/entendu partout, seule une appli d'authentification tierce fonctionne contre le simswp pour l'heure et c'est logique... 😢 Quand je pense que même les applis bancaires ne proposent toujours pas ça et sont toujours limitées à un pauvre mot de passe à 4 chiffres pour les virements par exemple XD Oui c'est un sujet de vidéo qui, je pense, devrait être traité par toutes les personnes qui parlent de sécurité des données sur la plateforme YT ou d'autres. C'est beaucoup trop facile pour ces escrocs cette méthode. D'un instant à l'autre, sans avoir absolument rien fait de spécial, boum, toute votre vie bascule... c'est chaud... tout le monde est concerné par le simswp, c'est vraiment une attaque imparable...je pige pas que tous les services importants ne se soient toujours pas mis à la triple auth... mais surtout banque et FAI ! Tchô. ps : allé zou, un abo de plus ^^ ps2 : Leothell = Secureaks je suppose ?