Fermer le menu
 

Les gestionnaires de mots de passe des navigateurs détournés pour tracer les internautes

Stéphane Moussie | | 16:00 |  38

Certains publicitaires font preuve d’une imagination débordante pour traquer les internautes. Le Center for Information Technology Policy (CITP) a découvert que deux sociétés abusaient des gestionnaires de mots de passe intégrés aux navigateurs pour suivre à la trace les utilisateurs.

La technique est la suivante : pour commencer, l’utilisateur s’inscrit sur un site et autorise son navigateur à enregistrer le mot de passe (avec le gestionnaire intégré ou une extension d’un logiciel dédié). Ensuite, quand il visite une autre page sur le même site, un script de tracking insère des champs de connexion invisibles qui sont automatiquement remplis par le gestionnaire de mots de passe. Le script récupère ainsi l’adresse email de connexion et envoie son empreinte à un serveur tiers.

Les publicitaires Adthink et OnAudience utilisent cette technique pour connaître l’historique de navigation des internautes et en dresser des profils précis. Les mots de passe ne sont pas subtilisés.

1Password rassure ses utilisateurs en expliquant que son extension dispose de plusieurs mécanismes pour ne pas se faire tromper et surtout qu’elle ne remplit jamais automatiquement les données de connexion.

Ce qui peut être vu comme un défaut — il faut cliquer sur un bouton ou utiliser un raccourci clavier pour remplir les champs — est en fait une protection contre les mauvais coups comme celui-ci. Chrome requiert aussi une action pour remplir les champs de connexion, mais ce n’est pas le cas de Safari, Firefox, Edge et d’extensions de logiciels spécialisés.

Les utilisateurs de Safari peuvent désactiver le remplissage automatique dans Préférences > Mots de passe sur Mac et Réglages > Safari > Remplissage automatique sur iOS. LastPass et Dashlane disposent également d’options pour empêcher le remplissage automatique. Vous pouvez tester le comportement de votre navigateur et/ou de votre extension dédiée sur cette page de démonstration.


Les derniers dossiers

Ailleurs sur le Web


38 Commentaires Signaler un abus dans les commentaires

avatar iAïeaïe 03/01/2018 - 17:43 via iGeneration pour iOS

@stefhort

Malheureusement ce n'est pas utile tant que tu as la même adresse IP. Les grosses boites de big data vont rassembler les adresses et vont voir qu'elles proviennent de la même adresse IP. Faudrait passer par un VPN et encore suis pas sûr que ça aiderai. Ma connaissance s'arrête là si un il y a un expert de big data dans la salle, il est le bienvenue.

avatar MacGyver 03/01/2018 - 18:18

bah, je pense pas qu'ils vont pas trop mettre d'energie a peaufiner le retracage d'une personne alors que 100 a coté font tout par defaut

sauf si ca se fait de maniere automatique

avatar bompi 03/01/2018 - 17:04

Depuis quelques années, je n'utilise plus la sauvegarde de mot de passe dans mes navigateurs mais me force à m'en souvenir ou ouvrir un coffre-fort sur un autre appareil pour le retrouver si je l'ai oublié.
Je trouvais ça un peu fatigant.

Finalement, je me dis que ça vaut parfois le coup de s'astreindre à ce type de gymnastique fastidieuse...



avatar MacGyver 03/01/2018 - 18:21

tu peux utiliser un coffre-fort genrfe 1pasword sur ta machine sans mettre l'extension sur tes navigateurs.

et quand tu as besoin tu va copier les infos dans le coffre (moins fastidieux que d'avoir un appareil tiers)

avatar Avenger 03/01/2018 - 17:32

Ce type de comportement n'est pas attaquable, en justice? Il serait grand temps que les autorités fixent des limites contraignantes à ce type d'attitude.

avatar padeca 03/01/2018 - 18:56 via iGeneration pour iOS

Queensland est-il de l’excellent Dashlane qui remplit justement tout seul les champs. Il est pile poil concerné ??? 😳😳

avatar pim 03/01/2018 - 19:36 via iGeneration pour iOS

@padeca

Je confirme pour le Queensland : plus de traçage, plus de GPS, plus de 4G, la campagne, la vraie !

Lol

avatar cv21 03/01/2018 - 20:07

Merci MacG pour la mise en garde et les conseils pour les préférences.

avatar oomu 03/01/2018 - 21:05

"Ils pourraient donc très bien récupérer aussi le mot de passe 😱... »

oui et non. vu qu’ils le connaissent déjà ^_- Mais c’est qui ces « ILS » ?

ILS : c’est une régie de pub utilisée par les opérateurs d’un site auquel vous vous êtes DEJA enregistré, dans lequel vous avez DEJA créé un compte (et donc un mot de passe, que par définitions, les opérateurs du site connaissent déjà et qu’ils pourraient donner à qui ils veulent, à des publicitaires par exemple ou à ma grand-mère).

Les publicitaires, ils veulent vous suivre, savoir précisément ce que vous faites sur les sites de leurs clients (les éventuels sites de clients de la même régie de pub sur lesquels vous avez aussi créé un compte, pour coupler les informations et obtenir un meilleur profil de votre perversité cacoph..heu je m’emporte :) ).

Normalement, cela ne devrait pas être possible si les scripts de la régie de pub provenaient d’un autre domaine que celui du contenu du site.

Par exemple les scrips viendraient de www.GrossePubDansTaFace.fr/scriptscools/ et les articles viendraient de www.maccOnVousAime.co ).

Mais pour toutes sortes de raisons qui sont la fainéantise, le j’m’en-foustime, le margoulisme (mot à moi) etc, on a encouragé les opérateurs de site web à intégrer directement dans leur page, dans leur propre domaine dns, les scripts des régies de pub.

Le navigateur ne peut pas faire de différence, il va traiter scripts de pubs et contenus du site comme la même chose, autorisant l’accès aux données de l’utilisateur à l'ensemble.

L’opérateur du site a volontairement (que ça soit consciemment ou par irresponsabilité) donné une confiance à la régie de pub.

Tout ça pour dire :

Les Opérateurs, Editeurs et Auteurs de site web ne sont PAS BLANCS sous prétexte que les Régies de Pubs font n’importe quoi sans forcément prévenir : ils sont dans une relation contractuelle et industrielle.

Il est peut être temps pour les éditeurs de sites web d’accepter, et de le dire, que soi:
- on est un site de merde, bas de gamme, et on va exploiter ses visiteurs pour avoir une ristourne avec des régies de pubs aux pratiques délétères.
- on se veut un site de référence et de qualité, cher et à haute valeur, et on s’organise techniquement pour qu’une régie de pub ne puisse pas faire cela, voir prendre un prestataire lui même de qualité, soit supprimer la pub ! (qui dit pas de pub, dit pas de régie de pub, moins d’intermédiaires, c’est + de contrôle).

D’ailleurs que fait macG pour s’assurer que sa régie de pub et son fournisseur d’analytics, métriques, commentaires, etc n’ait pas un vil margoulin homme-taupe de la mafia des triades ?

ptet rien, y a pas le temps ni le sous. et en plus je filtre les pubs...

avatar MacGyver 03/01/2018 - 22:00 (edité)

la, dans la 2eme phrase, tu mets le doigt sur le truc, vieux (si tu me permets), qui est en direct rapport avec mon premier commentaire

comment veux tu empecher que ces gens te tracent alors que tu va chez eux?

avatar oomu 03/01/2018 - 22:11

c’est en effet un sacré défi :). Cela me rappelle le gag du DRM.

Une des solutions, c’est l’analyse du « comportement » des scripts et leur blocage. avec des techniques d’ia pour apprendre de ses erreurs quand l’utilisateur reforce (par exemple en rechargeant constamment la page)

C’est ce vers quoi on va comme on le voit avec Safari.

On va finir par en arriver à des techniques d’anti-virus (isolation des pages et exécution au sein d’une simulation pour analyse AVANT de la présenter à l’utilisateur)

-
on s’achemine aussi vers le cryptage de tous les paquets IP, partie de l'entête compris, (c’est une idée qui circule de plus en plus dans l’industrie) pour bloquer les ambitions des opérateurs internet et autres intermédiaires qui décryptent vos usages (cela va de pair avec dnssec et la décentralisation de dns).

Et aussi la généralisation d’identifiants (adresse email compris) à courte vie (comme les e-cartes, mais massivement pour tout) pour limiter l’impact de leur suivi.

-
Tout cela se produit parce qu’il y a une rupture de confiance entre un utilisateur/consommateur et un fournisseur d’un service/produit.

Il y a une industrie complice du poison et une industrie ravie de vendre le contre-poison, et parfois, des vendeurs d’armes dans les deux camps.

Y a des évolutions passionnantes à venir.

avatar ovea 03/01/2018 - 22:41 via iGeneration pour iOS

@MacGyver

Ouééé, héhé !
et est-ce que j'peux me tracer moi-même …
et garder mes traces,
juste pour moi hééé… et mon pote :
Moi (l'autre moi),
afin de toutes les effacer,
par la suite sans m'en effacer, pour autant …
enfin, juste par amour propre (qui ne va pas le rester longtemps!)?
🌀

avatar VirtualDid 06/01/2018 - 05:15 via iGeneration pour iOS

Peut-être l'occasion de s'intéresser à SecureSafe (www.securesafe.com), cloud sécurisé, domicilié en Suisse et proposant un gestionnaire de mots de passe. À étudier pour voir si c'est mieux ou pas.

Pages