Le gestionnaire de connexion intégré de votre navigateur laisse-t-il couler votre nom d’utilisateur (et éventuellement votre mot de passe) après avoir utilisé le remplissage automatique des champs?
Des chercheurs du Centre de politique de l’information de Princeton ont découvert deux scripts de suivi tiers qui peuvent récupérer les informations fournies par le gestionnaire de connexion de votre navigateur pour créer un identifiant persistant et vous suivre lorsque vous naviguez entre les pages Web.
Voici comment ça se passe:
- Vous visitez une page Web et remplissez un formulaire de connexion. Votre navigateur vous demande si vous souhaitez enregistrer les informations de connexion.
- Plus tard, vous visitez une page différente sur le même site Web, qui inclut le script de suivi tiers. Le script de suivi insère un formulaire de connexion invisible à l’œil nu sur la page Web, et le gestionnaire de mots de passe de votre navigateur remplit automatiquement vos informations d’identification en utilisant bien évidemment le remplissage automatique.
- En utilisant le remplissage automatique, le script tiers ajoute votre adresse e-mail à partir du champ du formulaire invisible et envoie les données à un serveur tiers.
Lire aussi: Méfiez-vous du virus se propageant à travers Facebook Messenger
Quelle est la solution?
Simple. N’utilisez pas un gestionnaire de connexion qui remplit automatiquement les formulaires sans que vous lui donniez l’autorisation explicite de le faire. Vous pourriez être plus sage en utilisant un produit comme 1Password, dont les développeurs ont confirmé qu’il était conçu pour toujours insister sur l’approbation de l’utilisateur avant de remplir les formulaires.
Si vous autorisez votre navigateur à soumettre automatiquement votre nom d’utilisateur et votre mot de passe dans des formulaires de manière silencieuse et invisible, il existe toujours le danger qu’un site ou un script malveillant puisse voler l’information.
Les deux scripts repérés par les chercheurs de Princeton semblent avoir été conçus pour saisir des noms d’utilisateur hachés afin d’identifier les visiteurs Web à des fins de suivi publicitaire, mais il n’y a pas de raison technique pour utiliser cette même approche, soit les mots de passe remplis automatiquement.
Les chercheurs ont construit une démo en ligne, où vous pouvez tester si vous pourriez être vulnérable.
Cela devrait aller de soi que vous ne devez pas entrer de véritables informations d’identification sur cette page de démonstration disponible ici !
2 Commentaires
Pingback: Comment récupérer les mots de passe stockés par Google Chrome - MONASTUCE
Pingback: Comment récupérer un mot de passe stocké par Google Chrome - MONASTUCE