La société Seraum a mis en ligne une vidéo qui présente un proof of concept capable de déjouer le clavier virtuel que la plupart des banques utilisent.
Les dispositifs de clavier virtuel mélangent les chiffres qui servent à taper votre mot de passe évitant ainsi que quelqu’un puisse enregistrer ce dernier avec un simple keyloggeur.
Toutefois, une extension malicieuse installée sur un navigateur pourrait permettre de venir à bout de ce mot de passe.
Comment ?
C’est très simple, ce plug-in pourrait enregistrer une capture-écran de la page Web affichant ainsi l’ordre des chiffres puis enregistrer les coordonnées des zones que vous cliquez sur ce clavier virtuel. Tout ceci serait bien évidemment envoyé à un serveur tiers.
Cette démonstration n’est pas une révolution, mais elle permet quand même de faire un petit rappel sur le choix que vous devez accorder à vos extensions. N’installez pas n’importe quoi, téléchargez toujours vos extensions sur des sites de confiance comme les dépôts Google ou Firefox et même si on n’est jamais sûr à 100 % qu’une extension est propre, ça limite quand même pas mal les risques.