Fermer le menu
 

Les gestionnaires de mots de passe des navigateurs détournés pour tracer les internautes

Stéphane Moussie | | 16:00 |  38

Certains publicitaires font preuve d’une imagination débordante pour traquer les internautes. Le Center for Information Technology Policy (CITP) a découvert que deux sociétés abusaient des gestionnaires de mots de passe intégrés aux navigateurs pour suivre à la trace les utilisateurs.

La technique est la suivante : pour commencer, l’utilisateur s’inscrit sur un site et autorise son navigateur à enregistrer le mot de passe (avec le gestionnaire intégré ou une extension d’un logiciel dédié). Ensuite, quand il visite une autre page sur le même site, un script de tracking insère des champs de connexion invisibles qui sont automatiquement remplis par le gestionnaire de mots de passe. Le script récupère ainsi l’adresse email de connexion et envoie son empreinte à un serveur tiers.

Les publicitaires Adthink et OnAudience utilisent cette technique pour connaître l’historique de navigation des internautes et en dresser des profils précis. Les mots de passe ne sont pas subtilisés.

1Password rassure ses utilisateurs en expliquant que son extension dispose de plusieurs mécanismes pour ne pas se faire tromper et surtout qu’elle ne remplit jamais automatiquement les données de connexion.

Ce qui peut être vu comme un défaut — il faut cliquer sur un bouton ou utiliser un raccourci clavier pour remplir les champs — est en fait une protection contre les mauvais coups comme celui-ci. Chrome requiert aussi une action pour remplir les champs de connexion, mais ce n’est pas le cas de Safari, Firefox, Edge et d’extensions de logiciels spécialisés.

Les utilisateurs de Safari peuvent désactiver le remplissage automatique dans Préférences > Mots de passe sur Mac et Réglages > Safari > Remplissage automatique sur iOS. LastPass et Dashlane disposent également d’options pour empêcher le remplissage automatique. Vous pouvez tester le comportement de votre navigateur et/ou de votre extension dédiée sur cette page de démonstration.


Les derniers dossiers

Ailleurs sur le Web


38 Commentaires Signaler un abus dans les commentaires

avatar lesurfeurfou 03/01/2018 - 16:14 via iGeneration pour iOS

Ras le bol 😡

avatar MacGyver 03/01/2018 - 18:15

arrete de surfer sur le net, tu seras pas tracé

la vraie vie est ailleurs

avatar oomu 03/01/2018 - 20:43

réponse insuffisante.
Comme toute chose qui tente de profiter de vous, il n’y a aucune raison d’accepter et de se laisser faire. Configurez vos outils, filtrez et bridez. C’est justement après cela, que c’est beaucoup plus calme et simple (pas de popup, pas de site idiots, pas d’apps, pas de sons, le calme absolu)

La vraie vie n’est pas ailleurs. La vraie vie c’est moi, totalement moi et rien d’autre.

-
à ce propos, quand il s’agit de faire valoir ses droits en tant que travailleurs européens expatriés et que la quasi totalité de la procédure se fait via internet, on réalise que la Vraie Vie Que C’est Grave De Chez Grave Si On L’Admet PAs est bien sur internet (et ailleurs aussi).

Internet n’est pas une « réalité virtuelleuh », c’est la vraie vie: l’outil qui relie des vrais gens entre eux, parfois pour de vrais enjeux et de vrais considérations avec un vrai impact sur la vraie réalité de si on a de vraies carottes à la fin du mois pour vraiment nourrir ses vrais enfants.

(ce commentaire est un vrai commentaire publié par une vraie personne autant que ce terme peut avoir un sens quand tout n’est que construction mentale que nos sens peut être faux projettent à nos esprit si tant est que vous pouvez me prouver de la réalité physique de votre existence, bande de bots chimériques...)

#véritéVraieDuVraimentDeLaVraieViePasEnCarton #YaPtetUnSarcasme



avatar MacGyver 03/01/2018 - 21:47

"Comme toute chose qui tente de profiter de vous"

1. mais c'est vous qui profitez du web

2. et en quoi c'est publicitaires (que j'execre egalement) vous empechent de remplir vos formulaires?

3. ca sent le bot votre commentaire, ca se repete par moment

avatar ovea 03/01/2018 - 19:09 via iGeneration pour iOS

@lesurfeurfou

Ça serait réglé d'avance avec des profils d'utilisation !!!

avatar zoubi2 03/01/2018 - 16:22

Je dirai même plus : RAS LE BOL !

avatar ovea 03/01/2018 - 19:10 via iGeneration pour iOS

@zoubi2

Je dirais même plus : Ça serait réglé d'avance avec des profils d'utilisation !!!

avatar oomu 03/01/2018 - 20:44

je dirai même plus : BAS LE RÔLE !

avatar Maverick73 03/01/2018 - 16:26 via iGeneration pour iOS

Bon Safari iOS même la bêta 11.2.5 se fait berner !! Pfffff

avatar Malouin 03/01/2018 - 17:00 via iGeneration pour iOS

@Maverick73

Le remplissage automatique peut être désactivé ! Que demander de plus !?

avatar sxb 03/01/2018 - 18:51

En désactivant le remplissage automatique dans Safari on perd non seulement la possibilité d'enregistrer les mots de passe mais également celle de se connecter via le navigateur. Super pratique !

avatar oomu 03/01/2018 - 20:46

ben vi, c’est le but.

Supprimer un automatisme pour pas que votre machine se fasse automatiquement exploiter par un tiers.

+ on automatise, - on a de contrôle sur ce qui se fait.

Moralité: supprimez les automatismes ! (au moins une bonne partie... à vous de trouver vos limites et zones de conforts)

avatar sxb 03/01/2018 - 21:24 (edité)

Ben... Non c'est surtout rédhibitoire et incohérent.

Comment indiquer manuellement un mot de passe dans Keychain, pouvant également se synchroniser sur iCloud (et donc aussi bien sur un iPhone et/ou un Mac), puisque dans le trousseau, si la fonctionnalité "Remplissage auto" est décochée, on ne peut créer que des "Mot de passe Internet" et non des "Mots de passe de formulaire web" (les contrôles d'accès étant différents d'une méthode à l'autre) ?

avatar oomu 03/01/2018 - 21:32

hmmm, je vois. Je n’y avais pas pensé. Encore le coup de la « simplicité Apple » qui frappe.

C’est que j’utilise 1password (sur mac et iphone) et que je clique sciemment pour faire remplir par 1password un éventuel formulaire de page web.

avatar sxb 03/01/2018 - 21:35

Je voulais éviter jusqu'à là de passer par 1Password (ou similaire) mais bon, si ça continue je serais bien obligé de m'y restreindre; surtout si Apple conserve leur méthodologie moyenâgeuse à propos du trousseau.

avatar sangoke 03/01/2018 - 16:29 via iGeneration pour iOS

« un script de tracking insert des champs de connexion invisibles qui sont automatiquement remplis par le gestionnaire de mots de passe. Le script récupère ainsi l’adresse email de connexion et envoie son empreinte à un serveur tiers »

Ils pourraient donc très bien récupérer aussi le mot de passe 😱...

avatar shaba 03/01/2018 - 16:30 via iGeneration pour iOS

L’énergie que ces boites mettent pour nous exploiter est quand même prodigieuse...

avatar françois bayrou 03/01/2018 - 17:14 (edité)

+1
Des fois je me dis qu'on ne se rends pas compte de la valeur qu'on a.

avatar MacGyver 03/01/2018 - 18:22

pareil.

quand je vois les conneries de sites sur lesquel je surfe, je vois pas comment ils peuvent tirer de la tune a savoir cela....

avatar oomu 03/01/2018 - 21:16

ho mais ils en tirent. sinon on se crèverai pas à coup d'ingénieurs à faire tout ce bazar.

Après, peut être qu'en réalité ça n'a aucune valeur, qu'au final on apprend que des conneries sur vous, des conneries fausses en plus et qu'on dépense une énergie folle dingue à data-miner que vous deviez acheter du coca le mois dernier mais que non vous avez pris du pepsi...

mais en tout cas, les investisseurs y croient eux, pour l'instant, à ce bazar, et c'est tout ce qui compte.

-
après, vous vous dites "oh alors on s'en fout c'est pas grave".

Mais si, c'est grave (enfin, moins que plein d'autres choses) : tous ces scripts, ces suivis, ces profilages, ont un coût.

Déjà ,en chargement : La différence de taille entre une page avec et sans les dizaines de pubs/scripts d'analyses/profilages etc, et la page brute d'un article d'un journal classique genre LeMonde) est impressionnante. Et c'est pas pour rien qu'il va falloir la 5G Du Futur pour que ça soit plaisant de passer de pages en pages...

L'énergie consommée pour tout ce foutoir a aussi un impact sur votre autonomie. Et quand au passage un publicitaire/intermédiaire/prestataire un poil plus chafouin que d'habitude en profite pour rajouter un petit script de minage de cryptomonnaie... dites vous qu'il se goinfre sur VOTRE facture électrique.

Alors oui, c'est pas si grave, mais sans tout ce bazar (qui ne sert pas à financer le site que vous lisez puisque fait de manière opaque, + ou - dans le dos des éditeurs de sites), votre ordi irait beaaaaucoup plus vite pour lire les passionnantes (hum...) actualités et créations des sites webs.

C'est une gène et on est mieux sans.

Filtrez, bridez, coupez les automatismes (au moins la plupart).

avatar MacGyver 03/01/2018 - 21:54 (edité)

qu'ils devinent que je veuille acheter du coca via ces methodes, ou via une boule de cristal, un pendule et un jeu de rhunes, le resultat me semble pareil

on peux pas empecher les cons de faire des plans sur la comete et de le revendre a d'autres cons

sur ce, je me resers un whisky

avatar Okapi 03/01/2018 - 16:49 via iGeneration pour iOS

Une raison de plus d’utiliser Adblock !

avatar oomu 03/01/2018 - 21:09

sauf si adblock supprime et épure ce genre de scripts et ajout dynamique de formulaire (ce qui est faisable, mais faut réussir à faire la différence entre un comportement utile à l'utilisateur et un néfaste), adblock ne pourra rien.

Ghostery est censé suivre les évolutions de tous ces scripts, leur empreinte, et les supprimer de la page avant exécution.

c'est une bataille :)

je suppose qu'Apple ajoutera aussi ce genre de pratiques à l'étude, isolation et suppression des scripts que ces heuristiques (son "opinion + ou moins informées" ) déterminent comme néfaste à l'utilisateur.

avatar stefhort 03/01/2018 - 16:57 via iGeneration pour iOS (edité)

1Password depuis la première heure, j’en suis très satisfait ! (je crée carrément une adresse mail distincte pour chaque compte .... une fois de plus je vois que c’est utile !)

avatar YARK 03/01/2018 - 17:34

Idem et je fais même mieux, il y a des comptes où mon âge, mon nom, mon prénom, voire mon adresse sont différents (quand c'est possible, quand c'est pour se faire livrer ou facturer, bien sûr que je mets des infos sérieuses).
+ adresses mail "poubelle" quand ça sent les emmerdeurs.

Pages