Les gestionnaires de mots de passe des navigateurs détournés pour tracer les internautes

Soumis par Stéphane Moussie le mer, 03/01/2018 - 16:00

Certains publicitaires font preuve d’une imagination débordante pour traquer les internautes. Le Center for Information Technology Policy (CITP) a découvert que deux sociétés abusaient des gestionnaires de mots de passe intégrés aux navigateurs pour suivre à la trace les utilisateurs.

La technique est la suivante : pour commencer, l’utilisateur s’inscrit sur un site et autorise son navigateur à enregistrer le mot de passe (avec le gestionnaire intégré ou une extension d’un logiciel dédié). Ensuite, quand il visite une autre page sur le même site, un script de tracking insère des champs de connexion invisibles qui sont automatiquement remplis par le gestionnaire de mots de passe. Le script récupère ainsi l’adresse email de connexion et envoie son empreinte à un serveur tiers.

Les publicitaires Adthink et OnAudience utilisent cette technique pour connaître l’historique de navigation des internautes et en dresser des profils précis. Les mots de passe ne sont pas subtilisés.

1Password rassure ses utilisateurs en expliquant que son extension dispose de plusieurs mécanismes pour ne pas se faire tromper et surtout qu’elle ne remplit jamais automatiquement les données de connexion.

Ce qui peut être vu comme un défaut — il faut cliquer sur un bouton ou utiliser un raccourci clavier pour remplir les champs — est en fait une protection contre les mauvais coups comme celui-ci. Chrome requiert aussi une action pour remplir les champs de connexion, mais ce n’est pas le cas de Safari, Firefox, Edge et d’extensions de logiciels spécialisés.

Les utilisateurs de Safari peuvent désactiver le remplissage automatique dans Préférences > Mots de passe sur Mac et Réglages > Safari > Remplissage automatique sur iOS. LastPass et Dashlane disposent également d’options pour empêcher le remplissage automatique. Vous pouvez tester le comportement de votre navigateur et/ou de votre extension dédiée sur cette page de démonstration.