Les gestionnaires de mots de passe des navigateurs détournés pour tracer les internautes

Stéphane Moussie |

Certains publicitaires font preuve d’une imagination débordante pour traquer les internautes. Le Center for Information Technology Policy (CITP) a découvert que deux sociétés abusaient des gestionnaires de mots de passe intégrés aux navigateurs pour suivre à la trace les utilisateurs.

La technique est la suivante : pour commencer, l’utilisateur s’inscrit sur un site et autorise son navigateur à enregistrer le mot de passe (avec le gestionnaire intégré ou une extension d’un logiciel dédié). Ensuite, quand il visite une autre page sur le même site, un script de tracking insère des champs de connexion invisibles qui sont automatiquement remplis par le gestionnaire de mots de passe. Le script récupère ainsi l’adresse email de connexion et envoie son empreinte à un serveur tiers.

Les publicitaires Adthink et OnAudience utilisent cette technique pour connaître l’historique de navigation des internautes et en dresser des profils précis. Les mots de passe ne sont pas subtilisés.

1Password rassure ses utilisateurs en expliquant que son extension dispose de plusieurs mécanismes pour ne pas se faire tromper et surtout qu’elle ne remplit jamais automatiquement les données de connexion.

Ce qui peut être vu comme un défaut — il faut cliquer sur un bouton ou utiliser un raccourci clavier pour remplir les champs — est en fait une protection contre les mauvais coups comme celui-ci. Chrome requiert aussi une action pour remplir les champs de connexion, mais ce n’est pas le cas de Safari, Firefox, Edge et d’extensions de logiciels spécialisés.

Les utilisateurs de Safari peuvent désactiver le remplissage automatique dans Préférences > Mots de passe sur Mac et Réglages > Safari > Remplissage automatique sur iOS. LastPass et Dashlane disposent également d’options pour empêcher le remplissage automatique. Vous pouvez tester le comportement de votre navigateur et/ou de votre extension dédiée sur cette page de démonstration.


avatar lesurfeurfou | 

Ras le bol ?

avatar MacGyver | 

arrete de surfer sur le net, tu seras pas tracé

la vraie vie est ailleurs

avatar oomu | 

réponse insuffisante.
Comme toute chose qui tente de profiter de vous, il n’y a aucune raison d’accepter et de se laisser faire. Configurez vos outils, filtrez et bridez. C’est justement après cela, que c’est beaucoup plus calme et simple (pas de popup, pas de site idiots, pas d’apps, pas de sons, le calme absolu)

La vraie vie n’est pas ailleurs. La vraie vie c’est moi, totalement moi et rien d’autre.

-
à ce propos, quand il s’agit de faire valoir ses droits en tant que travailleurs européens expatriés et que la quasi totalité de la procédure se fait via internet, on réalise que la Vraie Vie Que C’est Grave De Chez Grave Si On L’Admet PAs est bien sur internet (et ailleurs aussi).

Internet n’est pas une « réalité virtuelleuh », c’est la vraie vie: l’outil qui relie des vrais gens entre eux, parfois pour de vrais enjeux et de vrais considérations avec un vrai impact sur la vraie réalité de si on a de vraies carottes à la fin du mois pour vraiment nourrir ses vrais enfants.

(ce commentaire est un vrai commentaire publié par une vraie personne autant que ce terme peut avoir un sens quand tout n’est que construction mentale que nos sens peut être faux projettent à nos esprit si tant est que vous pouvez me prouver de la réalité physique de votre existence, bande de bots chimériques...)

#véritéVraieDuVraimentDeLaVraieViePasEnCarton #YaPtetUnSarcasme

avatar MacGyver | 

"Comme toute chose qui tente de profiter de vous"

1. mais c'est vous qui profitez du web

2. et en quoi c'est publicitaires (que j'execre egalement) vous empechent de remplir vos formulaires?

3. ca sent le bot votre commentaire, ca se repete par moment

avatar ovea | 

@lesurfeurfou

Ça serait réglé d'avance avec des profils d'utilisation !!!

avatar zoubi2 | 

Je dirai même plus : RAS LE BOL !

avatar ovea | 

@zoubi2

Je dirais même plus : Ça serait réglé d'avance avec des profils d'utilisation !!!

avatar oomu | 

je dirai même plus : BAS LE RÔLE !

avatar Maverick73 | 

Bon Safari iOS même la bêta 11.2.5 se fait berner !! Pfffff

avatar Malouin | 

@Maverick73

Le remplissage automatique peut être désactivé ! Que demander de plus !?

avatar sxb | 

En désactivant le remplissage automatique dans Safari on perd non seulement la possibilité d'enregistrer les mots de passe mais également celle de se connecter via le navigateur. Super pratique !

avatar oomu | 

ben vi, c’est le but.

Supprimer un automatisme pour pas que votre machine se fasse automatiquement exploiter par un tiers.

+ on automatise, - on a de contrôle sur ce qui se fait.

Moralité: supprimez les automatismes ! (au moins une bonne partie... à vous de trouver vos limites et zones de conforts)

avatar sxb | 

Ben... Non c'est surtout rédhibitoire et incohérent.

Comment indiquer manuellement un mot de passe dans Keychain, pouvant également se synchroniser sur iCloud (et donc aussi bien sur un iPhone et/ou un Mac), puisque dans le trousseau, si la fonctionnalité "Remplissage auto" est décochée, on ne peut créer que des "Mot de passe Internet" et non des "Mots de passe de formulaire web" (les contrôles d'accès étant différents d'une méthode à l'autre) ?

avatar oomu | 

hmmm, je vois. Je n’y avais pas pensé. Encore le coup de la « simplicité Apple » qui frappe.

C’est que j’utilise 1password (sur mac et iphone) et que je clique sciemment pour faire remplir par 1password un éventuel formulaire de page web.

avatar sxb | 

Je voulais éviter jusqu'à là de passer par 1Password (ou similaire) mais bon, si ça continue je serais bien obligé de m'y restreindre; surtout si Apple conserve leur méthodologie moyenâgeuse à propos du trousseau.

avatar sangoke | 

« un script de tracking insert des champs de connexion invisibles qui sont automatiquement remplis par le gestionnaire de mots de passe. Le script récupère ainsi l’adresse email de connexion et envoie son empreinte à un serveur tiers »

Ils pourraient donc très bien récupérer aussi le mot de passe ?...

avatar shaba | 

L’énergie que ces boites mettent pour nous exploiter est quand même prodigieuse...

avatar françois bayrou | 

+1
Des fois je me dis qu'on ne se rends pas compte de la valeur qu'on a.

avatar MacGyver | 

pareil.

quand je vois les conneries de sites sur lesquel je surfe, je vois pas comment ils peuvent tirer de la tune a savoir cela....

avatar oomu | 

ho mais ils en tirent. sinon on se crèverai pas à coup d'ingénieurs à faire tout ce bazar.

Après, peut être qu'en réalité ça n'a aucune valeur, qu'au final on apprend que des conneries sur vous, des conneries fausses en plus et qu'on dépense une énergie folle dingue à data-miner que vous deviez acheter du coca le mois dernier mais que non vous avez pris du pepsi...

mais en tout cas, les investisseurs y croient eux, pour l'instant, à ce bazar, et c'est tout ce qui compte.

-
après, vous vous dites "oh alors on s'en fout c'est pas grave".

Mais si, c'est grave (enfin, moins que plein d'autres choses) : tous ces scripts, ces suivis, ces profilages, ont un coût.

Déjà ,en chargement : La différence de taille entre une page avec et sans les dizaines de pubs/scripts d'analyses/profilages etc, et la page brute d'un article d'un journal classique genre LeMonde) est impressionnante. Et c'est pas pour rien qu'il va falloir la 5G Du Futur pour que ça soit plaisant de passer de pages en pages...

L'énergie consommée pour tout ce foutoir a aussi un impact sur votre autonomie. Et quand au passage un publicitaire/intermédiaire/prestataire un poil plus chafouin que d'habitude en profite pour rajouter un petit script de minage de cryptomonnaie... dites vous qu'il se goinfre sur VOTRE facture électrique.

Alors oui, c'est pas si grave, mais sans tout ce bazar (qui ne sert pas à financer le site que vous lisez puisque fait de manière opaque, + ou - dans le dos des éditeurs de sites), votre ordi irait beaaaaucoup plus vite pour lire les passionnantes (hum...) actualités et créations des sites webs.

C'est une gène et on est mieux sans.

Filtrez, bridez, coupez les automatismes (au moins la plupart).

avatar MacGyver | 

qu'ils devinent que je veuille acheter du coca via ces methodes, ou via une boule de cristal, un pendule et un jeu de rhunes, le resultat me semble pareil

on peux pas empecher les cons de faire des plans sur la comete et de le revendre a d'autres cons

sur ce, je me resers un whisky

avatar Okapi | 

Une raison de plus d’utiliser Adblock !

avatar oomu | 

sauf si adblock supprime et épure ce genre de scripts et ajout dynamique de formulaire (ce qui est faisable, mais faut réussir à faire la différence entre un comportement utile à l'utilisateur et un néfaste), adblock ne pourra rien.

Ghostery est censé suivre les évolutions de tous ces scripts, leur empreinte, et les supprimer de la page avant exécution.

c'est une bataille :)

je suppose qu'Apple ajoutera aussi ce genre de pratiques à l'étude, isolation et suppression des scripts que ces heuristiques (son "opinion + ou moins informées" ) déterminent comme néfaste à l'utilisateur.

avatar pomme-analogique | 

1Password depuis la première heure, j’en suis très satisfait ! (je crée carrément une adresse mail distincte pour chaque compte .... une fois de plus je vois que c’est utile !)

avatar YARK | 

Idem et je fais même mieux, il y a des comptes où mon âge, mon nom, mon prénom, voire mon adresse sont différents (quand c'est possible, quand c'est pour se faire livrer ou facturer, bien sûr que je mets des infos sérieuses).
+ adresses mail "poubelle" quand ça sent les emmerdeurs.

avatar iAïeaïe | 

@stefhort

Malheureusement ce n'est pas utile tant que tu as la même adresse IP. Les grosses boites de big data vont rassembler les adresses et vont voir qu'elles proviennent de la même adresse IP. Faudrait passer par un VPN et encore suis pas sûr que ça aiderai. Ma connaissance s'arrête là si un il y a un expert de big data dans la salle, il est le bienvenue.

avatar MacGyver | 

bah, je pense pas qu'ils vont pas trop mettre d'energie a peaufiner le retracage d'une personne alors que 100 a coté font tout par defaut

sauf si ca se fait de maniere automatique

avatar bompi | 

Depuis quelques années, je n'utilise plus la sauvegarde de mot de passe dans mes navigateurs mais me force à m'en souvenir ou ouvrir un coffre-fort sur un autre appareil pour le retrouver si je l'ai oublié.
Je trouvais ça un peu fatigant.

Finalement, je me dis que ça vaut parfois le coup de s'astreindre à ce type de gymnastique fastidieuse...

avatar MacGyver | 

tu peux utiliser un coffre-fort genrfe 1pasword sur ta machine sans mettre l'extension sur tes navigateurs.

et quand tu as besoin tu va copier les infos dans le coffre (moins fastidieux que d'avoir un appareil tiers)

avatar Avenger | 

Ce type de comportement n'est pas attaquable, en justice? Il serait grand temps que les autorités fixent des limites contraignantes à ce type d'attitude.

avatar padeca | 

Queensland est-il de l’excellent Dashlane qui remplit justement tout seul les champs. Il est pile poil concerné ??? ??

avatar pim | 

@padeca

Je confirme pour le Queensland : plus de traçage, plus de GPS, plus de 4G, la campagne, la vraie !

Lol

avatar cv21 | 

Merci MacG pour la mise en garde et les conseils pour les préférences.

avatar oomu | 

"Ils pourraient donc très bien récupérer aussi le mot de passe ?... »

oui et non. vu qu’ils le connaissent déjà ^_- Mais c’est qui ces « ILS » ?

ILS : c’est une régie de pub utilisée par les opérateurs d’un site auquel vous vous êtes DEJA enregistré, dans lequel vous avez DEJA créé un compte (et donc un mot de passe, que par définitions, les opérateurs du site connaissent déjà et qu’ils pourraient donner à qui ils veulent, à des publicitaires par exemple ou à ma grand-mère).

Les publicitaires, ils veulent vous suivre, savoir précisément ce que vous faites sur les sites de leurs clients (les éventuels sites de clients de la même régie de pub sur lesquels vous avez aussi créé un compte, pour coupler les informations et obtenir un meilleur profil de votre perversité cacoph..heu je m’emporte :) ).

Normalement, cela ne devrait pas être possible si les scripts de la régie de pub provenaient d’un autre domaine que celui du contenu du site.

Par exemple les scrips viendraient de www.GrossePubDansTaFace.fr/scriptscools/ et les articles viendraient de www.maccOnVousAime.co ).

Mais pour toutes sortes de raisons qui sont la fainéantise, le j’m’en-foustime, le margoulisme (mot à moi) etc, on a encouragé les opérateurs de site web à intégrer directement dans leur page, dans leur propre domaine dns, les scripts des régies de pub.

Le navigateur ne peut pas faire de différence, il va traiter scripts de pubs et contenus du site comme la même chose, autorisant l’accès aux données de l’utilisateur à l'ensemble.

L’opérateur du site a volontairement (que ça soit consciemment ou par irresponsabilité) donné une confiance à la régie de pub.

Tout ça pour dire :

Les Opérateurs, Editeurs et Auteurs de site web ne sont PAS BLANCS sous prétexte que les Régies de Pubs font n’importe quoi sans forcément prévenir : ils sont dans une relation contractuelle et industrielle.

Il est peut être temps pour les éditeurs de sites web d’accepter, et de le dire, que soi:
- on est un site de merde, bas de gamme, et on va exploiter ses visiteurs pour avoir une ristourne avec des régies de pubs aux pratiques délétères.
- on se veut un site de référence et de qualité, cher et à haute valeur, et on s’organise techniquement pour qu’une régie de pub ne puisse pas faire cela, voir prendre un prestataire lui même de qualité, soit supprimer la pub ! (qui dit pas de pub, dit pas de régie de pub, moins d’intermédiaires, c’est + de contrôle).

D’ailleurs que fait macG pour s’assurer que sa régie de pub et son fournisseur d’analytics, métriques, commentaires, etc n’ait pas un vil margoulin homme-taupe de la mafia des triades ?

ptet rien, y a pas le temps ni le sous. et en plus je filtre les pubs...

avatar MacGyver | 

la, dans la 2eme phrase, tu mets le doigt sur le truc, vieux (si tu me permets), qui est en direct rapport avec mon premier commentaire

comment veux tu empecher que ces gens te tracent alors que tu va chez eux?

avatar oomu | 

c’est en effet un sacré défi :). Cela me rappelle le gag du DRM.

Une des solutions, c’est l’analyse du « comportement » des scripts et leur blocage. avec des techniques d’ia pour apprendre de ses erreurs quand l’utilisateur reforce (par exemple en rechargeant constamment la page)

C’est ce vers quoi on va comme on le voit avec Safari.

On va finir par en arriver à des techniques d’anti-virus (isolation des pages et exécution au sein d’une simulation pour analyse AVANT de la présenter à l’utilisateur)

-
on s’achemine aussi vers le cryptage de tous les paquets IP, partie de l'entête compris, (c’est une idée qui circule de plus en plus dans l’industrie) pour bloquer les ambitions des opérateurs internet et autres intermédiaires qui décryptent vos usages (cela va de pair avec dnssec et la décentralisation de dns).

Et aussi la généralisation d’identifiants (adresse email compris) à courte vie (comme les e-cartes, mais massivement pour tout) pour limiter l’impact de leur suivi.

-
Tout cela se produit parce qu’il y a une rupture de confiance entre un utilisateur/consommateur et un fournisseur d’un service/produit.

Il y a une industrie complice du poison et une industrie ravie de vendre le contre-poison, et parfois, des vendeurs d’armes dans les deux camps.

Y a des évolutions passionnantes à venir.

avatar ovea | 

@MacGyver

Ouééé, héhé !
et est-ce que j'peux me tracer moi-même …
et garder mes traces,
juste pour moi hééé… et mon pote :
Moi (l'autre moi),
afin de toutes les effacer,
par la suite sans m'en effacer, pour autant …
enfin, juste par amour propre (qui ne va pas le rester longtemps!)?
?

avatar VirtualDid (non vérifié) | 

Peut-être l'occasion de s'intéresser à SecureSafe (www.securesafe.com), cloud sécurisé, domicilié en Suisse et proposant un gestionnaire de mots de passe. À étudier pour voir si c'est mieux ou pas.

CONNEXION UTILISATEUR