Une nouvelle technique de hameçonnage, baptisée « Vaultjacking », cible le gestionnaire de mots de passe Google (Google Password Manager, GPM) en détournant le code PIN à six chiffres qui protège le coffre-fort de l’utilisateur. Selon les chercheurs de PhishU, cette méthode permet à un attaquant de déchiffrer, en une seule campagne de hameçonnage, l’intégralité des mots de passe et des passkeys qu’une victime a synchronisés via son compte Google.
Un seul code PIN, tous les secrets
Le principe est décrit comme un « Adversary-in-the-Middle » (AiTM) de bout en bout. L’attaque intercepte la saisie du code PIN lors d’une connexion classique à un compte Google. Une fois ce code capturé, l’attaquant peut l’utiliser depuis sa propre infrastructure pour rejoindre le « domaine de sécurité » du compte Google de la victime. C’est ce domaine qui régit l’accès à l’ensemble des identifiants synchronisés. « Un code GPM à six chiffres capturé, et un attaquant repart avec l’ensemble du coffre-fort de mots de passe et de passkeys de la victime », résume la publication.
L’attaque ne nécessite aucun logiciel malveillant installé sur l’appareil de la cible, contrairement à une autre technique distincte, le « Browser Syncjacking », qui repose sur une extension de navigateur malveillante. Vaultjacking se déroule entièrement dans le cadre d’un hameçonnage de type AiTM, sans nécessiter de point d’appui sur le terminal de la victime.
Comment le système est contourné
Le fonctionnement des passkeys synchronisés repose sur un mécanisme appelé « Security Domain Secret » (SDS). Ce secret est libéré par le cloud Google à un appareil lorsque celui-ci rejoint le domaine de sécurité, une opération validée par la saisie du code PIN. La technique exploite l’absence de validation croisée entre les appareils : contrairement à iCloud Keychain d’Apple, qui demande une approbation explicite sur chaque terminal existant avant d’en ajouter un nouveau, Google ne prévient pas les autres appareils. « Aucune notification push, aucune demande
