Gestionnaires de mots de passe : pour votre sécurité, désactivez le remplissage automatique
La plupart des navigateurs intègrent un gestionnaire de mots de passe pour sauvegarder les identifiants afin de remplir plus facilement les formulaires de connexion. Les utilisateurs qui veulent plus de fonctionnalités se tournent vers un gestionnaire de mots de passe tiers comme 1Password ou LastPass. Une récente étude montre comment des sociétés de ciblage publicitaire exploitent le remplissage automatique pour aspirer les identifiants des utilisateurs.
Des chercheurs du Pirnceton Center for Information Technilogy Policy ont récemment découvert que certains scripts publicitaires exploitaient une faiblesse des gestionnaires de mots de passe pour récupérer une signature numérique des données d’utilisateurs dans un but de tracking. D’après leurs explications, voici comment se résume le processus :
- L’internaute décide de sauvegarder ses identifiants sur un site dans un gestionnaire de mots de passe
- Quand il visite d’autres pages du site, un formulaire de connexion invisible est injecté par un script publicitaire tiers
- Le gestionnaire de mots de passe du navigateur remplit automatiquement les champs
- Le script récupère le nom d’utilisateur et l’adresse email, procède à un hachage puis le stocke sur ses serveurs.
L’image suivante schématise le fonctionnement :
À quoi sert cette faiblesse des gestionnaires de mots de passe ?
Il faut tout d’abord comprendre que les sites sur lesquels cette pratique a été identifiée ne sont pas eux-mêmes directement responsables de la récupération illicite des données de connexion à des fins d’identification unique. Les chercheurs expliquent que deux scripts publicitaires sont en cause : AdThink et OnAudience qui injectent des formulaires invisibles que le gestionnaire de mots de passe du navigateur va remplir automatiquement si cette fonctionnalité est activée.
Les adresses email sont alors hachées par diverses fonctions (MD5, SHA1, SHA256) afin de générer une empreinte mathématique unique qui servira à tracker l’internaute sur différents sites qui utilisent les scripts en question. C’est une manière pour les publicitaires d’affiner le profilage sans forcément compter sur les cookies et autres formes de tracking. Et cela est rendu possible par le fait que les internautes utilisent le plus souvent la même adresse email pour de multiples services.
Sur les un million de sites les plus visités au monde, les chercheurs en ont identifié 1110 qui sont partenaires des deux régies indiquées plus haut. La liste qui compte plusieurs sites francophones est fournie à cette adresse.
Les scripts analysés se contentent des noms d’utilisateurs et des adresses email. Mais rien n’empêche d’autres scripts de ce genre d’aspirer les mots de passe, comme ça a déjà été le cas par le passé.
Comment se protéger ?
Malheureusement, la plupart des gestionnaires de mot de passe intégrés aux navigateurs ne permettent pas de désactiver le remplissage automatique. C’est le cas pour celui de Google Chrome et de Microsoft Edge. Mais si vous utilisez Firefox, il y a une option pour désactiver le remplissage automatique des identifiants, mais elle est cachée dans les paramètres about:config.
Pour désactiver la fonction dans Firefox, il faut :
- Saisir about:config dans la barre d’adresse
- Cliquer sur « Je prends le risque »
- Rechercher le paramètre signon.autofillForms en le saisissant dans la barre de recherche
- Double-cliquer sur la ligne pour faire passer la valeur de « true » à « false »
- Redémarrez le navigateur
Si vous utilisez Chrome et souhaitez éviter d’être victime de la faille, mieux vaudrait utiliser un gestionnaire de mots de passe tiers comme 1Password, LastPass ou encore KeePass. la société AgilBits, qui édite la solution 1Password a rappelé que son utilitaire n’intègre pas une fonctionnalité de remplissage automatique. Il requiert toujours une action de l’utilisateur.
Avec les autres solutions comme LastPass, il est possible de faire pareil en désactivant le remplissage automatique. Selon l’outil que vous utilisez, suivez la procédure fournie par l’éditeur.
Pour accéder au rapport de cette étude, c’est par ici.