Résumé Exécutif

Le CISO de SlowMist, 23pds, a identifié une vulnérabilité de sécurité significative dans le système de connexion par clé WebAuthn. Cet exploit permet aux attaquants de détourner l'API WebAuthn via des extensions de navigateur malveillantes ou des vulnérabilités de script intersites (XSS). L'attaque permet le vol d'identifiants d'utilisateur en forçant une rétrogradation vers une connexion basée sur un mot de passe ou en altérant le processus d'enregistrement de clé. Fondamentalement, cette méthode contourne la nécessité d'un accès physique à l'appareil ou d'une authentification biométrique, posant un risque substantiel pour les plateformes utilisant WebAuthn et soulignant les défis de sécurité systémiques au sein de l'écosystème Web3.

L'Événement en Détail

Le Chief Information Security Officer de SlowMist, 23pds, a révélé une nouvelle attaque de contournement de la connexion par clé WebAuthn. Cette méthode exploite l'API WebAuthn en tirant parti d'extensions de navigateur malveillantes ou de vulnérabilités XSS sur des sites web compromis. Le mécanisme d'attaque implique soit de contraindre à une rétrogradation vers des connexions basées sur un mot de passe moins sécurisées, soit de manipuler le processus d'enregistrement de clé pour acquérir subrepticement les identifiants d'utilisateur. Une caractéristique clé de cette vulnérabilité est sa capacité à fonctionner sans nécessiter un accès physique à l'appareil de la victime ou une interaction avec des authentificateurs biométriques comme Face ID ou Touch ID.

L'attaque "Passkeys Pwned", telle que démontrée à DEF CON, clarifie davantage qu'il s'agit d'une faille d'implémentation au sein de WebAuthn, plutôt qu'une faiblesse cryptographique du standard lui-même ou une critique de la FIDO Alliance. Les attaquants peuvent proxifier les appels API WebAuthn pour forger des réponses d'enregistrement et d'authentification de passkey. Cela démontre que les menaces web courantes, y compris les attaques CDN, les XSS et les extensions de navigateur malveillantes, peuvent faciliter l'accès non autorisé via les passkeys, même sans compromettre directement le point de terminaison, le système d'exploitation ou le navigateur de l'utilisateur.

Implications sur le Marché

La découverte de cette vulnérabilité WebAuthn signale un besoin critique de vigilance accrue en matière de sécurité dans le paysage numérique, en particulier au sein de l'écosystème Web3. Si elle est exploitée à grande échelle, cette "Attaque de Rétrogradation de Credential" pourrait entraîner un vol d'identifiants substantiel et des pertes d'actifs significatives, avec des estimations suggérant des impacts potentiels sur des actifs numériques d'une valeur de centaines de millions. Ce scénario reflète les risques de la chaîne d'approvisionnement précédents, tels que la vulnérabilité CDN de Ledger Connect Kit, et souligne la prévalence continue des échecs de contrôle d'accès dans le Web3, qui ont représenté 1,6 milliard de dollars de pertes — près de 70 % de tous les fonds volés — au premier semestre 2025.

Le potentiel d'usurpation d'identité et de violations de comptes généralisées pourrait gravement diminuer la confiance des utilisateurs dans les méthodes d'authentification actuellement perçues comme sécurisées. Les entreprises et développeurs affectés sont confrontés à un mandat urgent de réviser leurs implémentations WebAuthn et de déployer des mesures d'atténuation pour protéger les actifs des utilisateurs et maintenir la confiance.

Commentaire d'Expert

23pds de SlowMist a d'abord attiré l'attention sur cette vulnérabilité critique de WebAuthn, soulignant son potentiel de vol d'identifiants sans nécessiter d'accès physique à l'appareil. Par la suite, SquareX Labs, via leur présentation "Passkeys Pwned" à DEF CON, a élaboré sur la nature de l'attaque, l'identifiant comme une faille d'implémentation qui capitalise sur les menaces web courantes comme les attaques CDN, XSS et les extensions de navigateur.

Séparément, ChainGuard a publié une alerte concernant une "Attaque de Rétrogradation de Credential" plus large affectant les protocoles d'authentification Web3, qui s'aligne sur les mécanismes de la vulnérabilité WebAuthn en forçant un accès moins sécurisé par mot de passe uniquement et en facilitant le vol de clés privées. Pour contrer ces menaces, les experts en sécurité recommandent des actions immédiates, notamment le durcissement des navigateurs en inspectant et bloquant rigoureusement les scripts malveillants, en empêchant les sites ou extensions non répertoriés d'accéder aux API WebAuthn, et en implémentant l'Authentification Multi-Facteurs (MFA) pour tous les fournisseurs d'identité utilisant des passkeys.

Contexte Plus Large

WebAuthn, une norme conjointe développée par le W3C et la FIDO Alliance, représente une avancée significative vers une authentification sans mot de passe et résistante au phishing grâce à l'utilisation de la cryptographie à clé publique. Malgré sa conception robuste, la dépendance actuelle aux parties fiables centralisées présente un défi philosophique et pratique aux principes décentralisés du Web3.

Cet incident met en lumière le problème persistant des échecs de contrôle d'accès dans le domaine Web3, qui continuent d'être un vecteur principal d'exploits. En outre, le paysage plus large de la sécurité Web3 est également aux prises avec des vulnérabilités comme les "attaques par message aveugle", où les utilisateurs sont trompés et signent involontairement des transactions malveillantes ; de telles attaques ont été jugées à risque pour 75,8 % des déploiements d'authentification Web3 testés. Les menaces persistantes nécessitent des cadres de sécurité robustes, des vérifications de permissions cohérentes et une adaptation continue aux vecteurs d'attaque émergents, accélérant potentiellement le développement et l'adoption de solutions d'authentification entièrement décentralisées et peer-to-peer pour renforcer la résilience de l'écosystème Web3.