Attention, pour ceux qui auraient un doute il ne faut pas remettre en question l’usage d’un gestionnaire de mot de passe. Il faut juste effectivement ne pas utiliser l’auto complétion automatique, et privilégier une auto complétion qui nécessite une action manuelle comme un clique sur un bouton. N’oubliez pas que le pire de tout, c’est de réutiliser un même mot de passe (ou un même pattern) sur plusieurs sites/services différents. Même noter des mots de passe sur un carnet papier physique est préférable.
Super vidéo, très claire pour comprendre les vulnérabilité XSS 👍. Ce serait intéressant aussi si possible d'avoir le côté blue team avec des méthodes de remédiation ou des moyens de protection pour l'utilisateur.
Et j'aimerais que tu fasse une video sur la sécurité word presse xml-rpc j'ai envie d en savoir plus sur sa et personne n'a deja fait un tuto sur sa en français merci
Je n'utilise pas Dashlane personnellement, mais sur 1Password il faut cliquer sur un bouton pour que les identifiants soient renseignés, ils ne se renseignent pas tout seuls. Si c'est pareil sur Dashlane alors il n'y a pas de soucis, mais c'est à tester. Je sais qu'à l'époque où j'utilisais LastPass il fallait désactiver l'option pour éviter qu'il ne remplisse tout seul les identifiants.
@@Secureaks Pour Firefox, l'option à désactiver est "Remplir automatiquement les noms d'utilisateurs et mots de passes" dans la section "Vie privée et sécurité" des paramètres.
super vidéo. Je me demande si tu as bien masqué ton code ou si un utilisateur avec un lecteur d'écran pourrait le détecter. souvent on oublie que certains users intéragissent avec le code css/js/html directement, parfois je lis même des bouts de code qui ne sont pas sensé être autant visible. je renouvelle une proposition de chalange colaboratif en vidéo, essayer de faire de la sec sans écran voir si les outils de pentest sont bien accessible avec un lecteur d'écran et autre techno d'assistance. sécuriser une machine voir aussi s'il y a des inégalités en la matière, si un utilisateur avec de bonne connaissance mais un handicap peu quand même être au même niveau qu'un même utilisateur sans.
C'est une bonne question, je ne sais pas si le lecteur d'écran détecte un élément qui est en "display: none", mais de toute façon ce n'est pas vraiment important pour un attaquant. Dans ces cas là il va essayer d'être le plus discret possible mais s'il ne l'est pas ça ne l’empêchera pas de tout de même voler des identifiants.
@@Secureaks ahah oui en effet. après me demandais si nos techno d'assistance ne pouvaient pas être alors détournée pour renforcer la sec du site du coup. un peu comme dans les soft anti plagia qui pouvaient longtemps être trompés par l'ajout de caractère dont on change l'apparence pour les rendre invisible à l'oeil (mais qui n'auraient pas échapés à un lecteur automatique.)
Merci pour cette excellente vidéo. Je n'approuve pas non plus cet usage du gestionnaire mais j'aimerais mieux comprendre. Est-ce le délai de remplissage du formulaire qui pose problème ? Si oui, je pense que l'attaquant pourrait bien utiliser le JS pour déclencher le vol d'identifiants au moment où la victime valide le formulaire plutôt que de mettre un timer. Sinon, qu'est-ce qui rend le remplissage manuel plus sûr que cette auto-complétion ?
Merci :) En fait ce qui pose problème c'est que le formulaire soit rempli automatiquement. Si la vulnérabilité XSS était sur la même page que le formulaire, on pourrait effectivement attendre que l'utilisateur saisisse son mot de passe et ça fonctionnerait également. La vidéo couvre le cas ou la XSS est sur une autre page et où on va créer nous-mêmes, via la XSS, un formulaire de connexion qu'on va cacher, mais que le gestionnaire va voir. Là, si le remplissage automatique est activé, on est quasiment sûr de récupérer les identifiants, et c'est ça qui rend le remplissage automatique plus dangereux que le remplissage manuel. Après de toute façon si une XSS stockée est présente sur le site, on peut faire plein d'autres choses, là c'est qu'un exemple d'exploitation parmi d'autres. J'espère que c'est plus clair.
Hello ! Dans ce cas de figure, l'attaquant ne peut récupérer que les identifiants du site sur lequel il se trouve et uniquement si le remplissage automatique est activé.
Bonjour, Je tombe sur votre vidéo en me perdant sur la toile. Je ne suis pas informaticien, même si tout ça me parle un minimum, mais je me demande quand même, ptet un point que j'ai pas capté dans la vidéo. Qu'est ce que ça change que ce soit le gestionnaire de FF (ou autre nav), un gestionnaire externe, ou la main du bug (entre le clavier et la chaise), qui remplisse le formulaire de connexion ? L''attaque xss ne marche donc que si le gestionnaire est intégré au navigateur en mode auto-remplissage ? C'est ça ? Existerait-il un gestionnaire pass gratuit et fiable du coup ?
Bonjour, Le principe ici c'est que le gestionnaire de mot de passe (si le remplissage automatique est activé), peu importe que ce soit celui du navigateur ou un autre installé via un plugin, va remplir automatiquement le formulaire de connexion dès que la page s'affiche. Pour ça il va chercher les champs du formulaire et les remplir s'il les trouve. Donc un attaquant peut utiliser une XSS (si présente sur le site) pour voler les identifiants. Après effectivement, on peut simplement attendre que l'utilisateur saisisse ses identifiants pour les voler avec du JavaScript mais dans ce cas il faut que la vulnérabilité XSS se trouve sur la même page que le formulaire, et il faut que l'utilisateur se connecte. L'exemple dans la vidéo couvre le cas de figure ou le formulaire n'est pas sur la même page et en plus cela ne nécessite aucune interaction utilisateur (si ce n'est ouvrir la page piégée). La j'ai pris Firefox en exemple parce que justement c'est activé par défaut, mais l'idéal est simplement de désactiver le remplissage automatique quand il est activé. J'espère que c'est un peu plus clair avec ce pavé ;)
@@Secureaks Par contre, de fait, une idée sur un gestionnaire de password qui serait vraiment fiable et gratuit ? Ou si on désactive le remplissage automatique de Firefox c'est suffisant ? 🤔(je viens de le désactiver ^^) Ah et, à tout hasard je me permets une 'tite question hors sujet, votre vidéo étant plutôt claire. Auriez-vous fait une vidéo sur le simswaping ? Une pratique certes pas trop courante en France mais qui deviendrait, apparemment, de moins en moins rare. Des moyens de s'en protéger efficacement ou toujours rien ? (j'avais vu la vidéo de Sandoz y a plusieurs mois qui n'est pas des plus rassurantes, si ça vous parle) Quand on voit que les applis des opérateurs types sfr etc n'ont pas de double authentification possible avec logiciel tiers :/ Marchi à nouveau pour votre superbe et sympathique réponse. Bientôt vous aurez trop d'abonnés (et c'est tout le mal que je vous souhaite 😁👍) pour passer du temps à ce genre de réponses de commentaires, alors j'en profite j'avoue hihihi ^^
@@geronimoze Merci :) Honnêtement en gratuit je pense que les gestionnaires des navigateurs peuvent faire l'affaire si on désactive effectivement le remplissage automatique. Après le contenu du gestionnaire est peut-être plus facile à voler par un malware, mais il faudrait creuser le sujet. Personnellement j'utilise 1Password qui revient à environ 40€ par an. Pour ce qui est du simswapping je n’ai pas fait de vidéo dessus, mais c'est un bon sujet (je note). Et effectivement une des seules manières de s'en protéger selon moi, à part ce que peuvent éventuellement faire les opérateurs, c'est de ne pas utiliser son numéro comme double authentification, mais plutôt une application tierce comme Google Authenticator, mais effectivement il y a encore certains services pour lesquels on n’a pas le choix...
@@leothell Okay, merci pour cette nouvelle réponse :) Bon du coup, pour l'heure je vais continuer comme ça, n'ayant pas les moyens pour payer un énième abonnement à quelque chose ^^ Sinon donc vous dites bien pareil que ce que j'ai lu/vu/entendu partout, seule une appli d'authentification tierce fonctionne contre le simswp pour l'heure et c'est logique... 😢 Quand je pense que même les applis bancaires ne proposent toujours pas ça et sont toujours limitées à un pauvre mot de passe à 4 chiffres pour les virements par exemple XD Oui c'est un sujet de vidéo qui, je pense, devrait être traité par toutes les personnes qui parlent de sécurité des données sur la plateforme YT ou d'autres. C'est beaucoup trop facile pour ces escrocs cette méthode. D'un instant à l'autre, sans avoir absolument rien fait de spécial, boum, toute votre vie bascule... c'est chaud... tout le monde est concerné par le simswp, c'est vraiment une attaque imparable...je pige pas que tous les services importants ne se soient toujours pas mis à la triple auth... mais surtout banque et FAI ! Tchô. ps : allé zou, un abo de plus ^^ ps2 : Leothell = Secureaks je suppose ?
Attention, pour ceux qui auraient un doute il ne faut pas remettre en question l’usage d’un gestionnaire de mot de passe.
Il faut juste effectivement ne pas utiliser l’auto complétion automatique, et privilégier une auto complétion qui nécessite une action manuelle comme un clique sur un bouton.
N’oubliez pas que le pire de tout, c’est de réutiliser un même mot de passe (ou un même pattern) sur plusieurs sites/services différents. Même noter des mots de passe sur un carnet papier physique est préférable.
Intéressant comme démonstration, et bien expliqué.
Je savais pas que javascript avait une fonction pour transformer en base64 !! 😱
Ca m'évitera d'utiliser des libs à l'avenir. 😂
btoa : Encodage en base64
atob : Decodage de base64
Je ne savais pas qu'il y avait d'autres méthodes pour cela 😂
J'aimerais bien voir ces libs.
Génial, tellement clair et fluide dans l'explication j'adore !
Merci beaucoup :)
excellente présentation, merci
Super vidéo, très claire pour comprendre les vulnérabilité XSS 👍. Ce serait intéressant aussi si possible d'avoir le côté blue team avec des méthodes de remédiation ou des moyens de protection pour l'utilisateur.
Merci beaucoup 😊 Oui c'est vrai, je prévois de faire une vidéo qui parlera plus en détail des XSS et de comment les corriger et les éviter.
Et j'aimerais que tu fasse une video sur la sécurité word presse xml-rpc j'ai envie d en savoir plus sur sa et personne n'a deja fait un tuto sur sa en français merci
Bonne idée je note 😉
Je vais devoir changer ma méthode d'enregistrements de mots de passe après cette vidéo 😵😂 merci Secureaks 👌🏼
Avec plaisir :)
du coup avec un gestionnaire de mdp genre Dashlane c'est ok ?
Je n'utilise pas Dashlane personnellement, mais sur 1Password il faut cliquer sur un bouton pour que les identifiants soient renseignés, ils ne se renseignent pas tout seuls. Si c'est pareil sur Dashlane alors il n'y a pas de soucis, mais c'est à tester. Je sais qu'à l'époque où j'utilisais LastPass il fallait désactiver l'option pour éviter qu'il ne remplisse tout seul les identifiants.
@@Secureaks Sur Bitwarden aussi, l'autocomplétion n'est pas activée par défaut. Il faut selectionner l'id via un bouton en surimpression.
@@Secureaks Pour Firefox, l'option à désactiver est "Remplir automatiquement les noms d'utilisateurs et mots de passes" dans la section "Vie privée et sécurité" des paramètres.
@@Secureaks C'est pareil sur Dashlane et sur Keepass ;-)
super vidéo.
Je me demande si tu as bien masqué ton code ou si un utilisateur avec un lecteur d'écran pourrait le détecter. souvent on oublie que certains users intéragissent avec le code css/js/html directement, parfois je lis même des bouts de code qui ne sont pas sensé être autant visible.
je renouvelle une proposition de chalange colaboratif en vidéo, essayer de faire de la sec sans écran voir si les outils de pentest sont bien accessible avec un lecteur d'écran et autre techno d'assistance. sécuriser une machine voir aussi s'il y a des inégalités en la matière, si un utilisateur avec de bonne connaissance mais un handicap peu quand même être au même niveau qu'un même utilisateur sans.
C'est une bonne question, je ne sais pas si le lecteur d'écran détecte un élément qui est en "display: none", mais de toute façon ce n'est pas vraiment important pour un attaquant. Dans ces cas là il va essayer d'être le plus discret possible mais s'il ne l'est pas ça ne l’empêchera pas de tout de même voler des identifiants.
@@Secureaks ahah oui en effet. après me demandais si nos techno d'assistance ne pouvaient pas être alors détournée pour renforcer la sec du site du coup. un peu comme dans les soft anti plagia qui pouvaient longtemps être trompés par l'ajout de caractère dont on change l'apparence pour les rendre invisible à l'oeil (mais qui n'auraient pas échapés à un lecteur automatique.)
Super :)
Merci pour cette excellente vidéo.
Je n'approuve pas non plus cet usage du gestionnaire mais j'aimerais mieux comprendre.
Est-ce le délai de remplissage du formulaire qui pose problème ?
Si oui, je pense que l'attaquant pourrait bien utiliser le JS pour déclencher le vol d'identifiants au moment où la victime valide le formulaire plutôt que de mettre un timer.
Sinon, qu'est-ce qui rend le remplissage manuel plus sûr que cette auto-complétion ?
Merci :) En fait ce qui pose problème c'est que le formulaire soit rempli automatiquement.
Si la vulnérabilité XSS était sur la même page que le formulaire, on pourrait effectivement attendre que l'utilisateur saisisse son mot de passe et ça fonctionnerait également.
La vidéo couvre le cas ou la XSS est sur une autre page et où on va créer nous-mêmes, via la XSS, un formulaire de connexion qu'on va cacher, mais que le gestionnaire va voir. Là, si le remplissage automatique est activé, on est quasiment sûr de récupérer les identifiants, et c'est ça qui rend le remplissage automatique plus dangereux que le remplissage manuel.
Après de toute façon si une XSS stockée est présente sur le site, on peut faire plein d'autres choses, là c'est qu'un exemple d'exploitation parmi d'autres.
J'espère que c'est plus clair.
Oui oui, très clair. Merci encore pour tout.
l'attaqueur peut prendre tous les mots de pass enregistrés pour autre site ou bien seulement du site vulnérable ?
Hello ! Dans ce cas de figure, l'attaquant ne peut récupérer que les identifiants du site sur lequel il se trouve et uniquement si le remplissage automatique est activé.
@@Secureaks merci pour l'info
Merci beaucoup pourquoi ta pas assez de like j'attend ta video sur burp suite
Bonjour,
Je tombe sur votre vidéo en me perdant sur la toile.
Je ne suis pas informaticien, même si tout ça me parle un minimum, mais je me demande quand même, ptet un point que j'ai pas capté dans la vidéo.
Qu'est ce que ça change que ce soit le gestionnaire de FF (ou autre nav), un gestionnaire externe, ou la main du bug (entre le clavier et la chaise), qui remplisse le formulaire de connexion ? L''attaque xss ne marche donc que si le gestionnaire est intégré au navigateur en mode auto-remplissage ? C'est ça ?
Existerait-il un gestionnaire pass gratuit et fiable du coup ?
Bonjour,
Le principe ici c'est que le gestionnaire de mot de passe (si le remplissage automatique est activé), peu importe que ce soit celui du navigateur ou un autre installé via un plugin, va remplir automatiquement le formulaire de connexion dès que la page s'affiche.
Pour ça il va chercher les champs du formulaire et les remplir s'il les trouve. Donc un attaquant peut utiliser une XSS (si présente sur le site) pour voler les identifiants.
Après effectivement, on peut simplement attendre que l'utilisateur saisisse ses identifiants pour les voler avec du JavaScript mais dans ce cas il faut que la vulnérabilité XSS se trouve sur la même page que le formulaire, et il faut que l'utilisateur se connecte. L'exemple dans la vidéo couvre le cas de figure ou le formulaire n'est pas sur la même page et en plus cela ne nécessite aucune interaction utilisateur (si ce n'est ouvrir la page piégée).
La j'ai pris Firefox en exemple parce que justement c'est activé par défaut, mais l'idéal est simplement de désactiver le remplissage automatique quand il est activé.
J'espère que c'est un peu plus clair avec ce pavé ;)
@@Secureaks Merci, réponse on ne peut plus claire 👍
@@Secureaks Par contre, de fait, une idée sur un gestionnaire de password qui serait vraiment fiable et gratuit ? Ou si on désactive le remplissage automatique de Firefox c'est suffisant ? 🤔(je viens de le désactiver ^^)
Ah et, à tout hasard je me permets une 'tite question hors sujet, votre vidéo étant plutôt claire.
Auriez-vous fait une vidéo sur le simswaping ? Une pratique certes pas trop courante en France mais qui deviendrait, apparemment, de moins en moins rare.
Des moyens de s'en protéger efficacement ou toujours rien ? (j'avais vu la vidéo de Sandoz y a plusieurs mois qui n'est pas des plus rassurantes, si ça vous parle)
Quand on voit que les applis des opérateurs types sfr etc n'ont pas de double authentification possible avec logiciel tiers :/
Marchi à nouveau pour votre superbe et sympathique réponse. Bientôt vous aurez trop d'abonnés (et c'est tout le mal que je vous souhaite 😁👍) pour passer du temps à ce genre de réponses de commentaires, alors j'en profite j'avoue hihihi ^^
@@geronimoze Merci :) Honnêtement en gratuit je pense que les gestionnaires des navigateurs peuvent faire l'affaire si on désactive effectivement le remplissage automatique. Après le contenu du gestionnaire est peut-être plus facile à voler par un malware, mais il faudrait creuser le sujet. Personnellement j'utilise 1Password qui revient à environ 40€ par an. Pour ce qui est du simswapping je n’ai pas fait de vidéo dessus, mais c'est un bon sujet (je note). Et effectivement une des seules manières de s'en protéger selon moi, à part ce que peuvent éventuellement faire les opérateurs, c'est de ne pas utiliser son numéro comme double authentification, mais plutôt une application tierce comme Google Authenticator, mais effectivement il y a encore certains services pour lesquels on n’a pas le choix...
@@leothell Okay, merci pour cette nouvelle réponse :)
Bon du coup, pour l'heure je vais continuer comme ça, n'ayant pas les moyens pour payer un énième abonnement à quelque chose ^^
Sinon donc vous dites bien pareil que ce que j'ai lu/vu/entendu partout, seule une appli d'authentification tierce fonctionne contre le simswp pour l'heure et c'est logique... 😢
Quand je pense que même les applis bancaires ne proposent toujours pas ça et sont toujours limitées à un pauvre mot de passe à 4 chiffres pour les virements par exemple XD
Oui c'est un sujet de vidéo qui, je pense, devrait être traité par toutes les personnes qui parlent de sécurité des données sur la plateforme YT ou d'autres. C'est beaucoup trop facile pour ces escrocs cette méthode. D'un instant à l'autre, sans avoir absolument rien fait de spécial, boum, toute votre vie bascule... c'est chaud... tout le monde est concerné par le simswp, c'est vraiment une attaque imparable...je pige pas que tous les services importants ne se soient toujours pas mis à la triple auth... mais surtout banque et FAI !
Tchô.
ps : allé zou, un abo de plus ^^
ps2 : Leothell = Secureaks je suppose ?
super démo
merci pour ces explications
Super intéressant merci!