Pour se connecter à ses comptes en ligne (sites marchands, administrations, banques, etc), quoi de plus pratique que d’utiliser la saisie automatique que proposent les gestionnaires de mots de passe intégrés aux navigateurs ? Chrome, Firefox ou Edge sont en effet capables depuis longtemps de sauvegarder votre login et votre mot de passe, et de les restituer automatiquement quand ils tombent sur le formulaire d’authentification du site en question.
Le problème, c’est que cette façon de faire présente le risque de voir ses identifiants aspirés par des sociétés marketing spécialisées dans le ciblage publicitaire. C’est en effet ce que viennent de révéler les chercheurs Gunes Acar, Steven Englehardt et Arvind Narayan du l’université de Princeton. Ils ont détecté deux scripts d’analyse statistique et marketing, AdThink et OnAudience, qui sont capables d’extraire les identifiants de connexion des utilisateurs pour un site donné.
Le principe est assez simple : une fois connecté à un site, l’utilisateur navigue sur différentes pages dont l’une contient le fameux script marketing. Celui-ci génère un formulaire de connexion invisible que le navigateur va automatiquement remplir. Le script capte l’identifiant – qui est souvent une adresse email – et génère à partir de celui-ci une empreinte mathématique (hachage MD5, SHA1, SHA256) qui sera envoyée vers les serveurs du prestataire marketing.
Ces scripts vont également collecter d’autres informations relatives à la configuration du navigateur et des actions de l’utilisateur. L’avantage de récupérer l’empreinte de l’identifiant, c’est que toutes ces informations vont pouvoir être associées à une valeur unique qui est loin d’être anonyme. « Pour savoir si un utilisateur se trouve dans le set de données, il suffit de hacher l’adresse email de l’utilisateur et d’effectuer une recherche », soulignent les chercheurs dans une note de blog. Cette collecte facilite donc grandement le ciblage comportemental et publicitaire des internautes. L’empreinte permet en effet aux sociétés marketing de comparer leurs sets de données entre eux et d’établir un profil complet de l’internaute.
Cette extraction fonctionne si l’éditeur du site ne prend aucune précaution quand il intègre le script de son partenaire marketing. En toute logique, le navigateur devrait considérer ce code comme venant d’un tiers et, conformément au principe de séparation des origines (Same Origin Policy), ne pas insérer les identifiants dans le formulaire. « Toutefois, si un éditeur intègre le script tiers sans l’isoler dans une iframe, il est considéré comme venant de lui », expliquent les chercheurs.
187 sites français épinglés
En somme, il ne s’agit pas d’une faille de sécurité, mais d’une mauvaise pratique de la part des éditeurs. Cette pratique est d’autant plus dangereuse que les scripts tiers pourraient également aspirer ni vu ni connu le mot de passe de l’utilisateur. Parmi les un million des plus gros sites de la Toile, les chercheurs en ont compté 1110 qui utilisaient les deux scripts cités plus haut. La liste des sites concernés est disponible en ligne avec la possibilité d’effectuer des recherches. Parmi les 187 sites français, on distingue notamment conrad.fr, lemondeinformatique.fr, leslipfrancais.fr, toner.fr et acheter-louer.fr.
Pour se protéger, ce n’est pas si facile. Seul Firefox permet de désactiver la saisie automatique des identifiants au travers du paramètre « signon.autofillForms », mais au prix d’un bien moindre confort d’usage. Pour accéder aux identifiants, il faut alors systématiquement passer par la rubrique « Paramètres ». Mieux vaut alors, dans ce cas, utiliser un gestionnaire de mot de passe tel que KeePass, qui donne plus de choix dans la configuration de la saisie automatique. L’éditeur AgileBits a, pour sa part, précisé que dans son gestionnaire de mots de passe 1Password, la saisie automatique nécessitait systématiquement une action de l’utilisateur. Elle ne peut donc pas se faire en douce. Le concurrent Keeper a donné une réponse similaire, tout en précisant qu’il était capable de reconnaître les formulaires invisibles.
Autre solution : utiliser une extension qui bloque les mouchards, telle que Adblock Plus (en activant Easy Privacy List), Privacy Badger ou Disconnect. Malheureusement, ces outils ne référencent pas forcément tous les scripts tiers.
Mise à jour le 05/01/2018
La société IT News Info, éditeur du site lemondeinformatique.fr, nous apporte la précision suivante: « La protection des données personnelles et le respect des bonnes pratiques (légales) dans ce domaine sont essentielles dans notre d’activité. C’est pourquoi, nous tenons à vous informer que le tag cité dans votre article “Pourquoi il faut se méfier des gestionnaires de mots de passe de Chrome ou Firefox”, déposé par un tiers, a été retiré depuis le début décembre, date à laquelle nous avons basculé Le Monde Informatique en https ainsi que l’ensemble de nos autres sites : CIO et Distributique. »
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.