PaperGeek, actu geek et high tech

Actu geek

Accueil / Comment faire / Gestionnaires de mots de passe : pour votre sécurité, désactivez le remplissage automatique

Gestionnaires de mots de passe : pour votre sécurité, désactivez le remplissage automatique

Par le

La plupart des navigateurs intègrent un gestionnaire de mots de passe pour sauvegarder les identifiants afin de remplir plus facilement les formulaires de connexion. Les utilisateurs qui veulent plus de fonctionnalités se tournent vers un gestionnaire de mots de passe tiers comme 1Password ou LastPass. Une récente étude montre comment des sociétés de ciblage publicitaire exploitent le remplissage automatique pour aspirer les identifiants des utilisateurs.

Gestionnaires mot de passe

Des chercheurs du Pirnceton Center for Information Technilogy Policy ont récemment découvert que certains scripts publicitaires exploitaient une faiblesse des gestionnaires de mots de passe pour récupérer une signature numérique des données d’utilisateurs dans un but de tracking. D’après leurs explications, voici comment se résume le processus :

  1. L’internaute décide de sauvegarder ses identifiants sur un site dans un gestionnaire de mots de passe
  2. Quand il visite d’autres pages du site, un formulaire de connexion invisible est injecté par un script publicitaire tiers
  3. Le gestionnaire de mots de passe du navigateur remplit automatiquement les champs
  4.  Le script récupère le nom d’utilisateur et l’adresse email, procède à un hachage puis le stocke sur ses serveurs.

L’image suivante schématise le fonctionnement :
Remplissage automatique gestionnaires mot passe

À quoi sert cette faiblesse des gestionnaires de mots de passe ?

Il faut tout d’abord comprendre que les sites sur lesquels cette pratique a été identifiée ne sont pas eux-mêmes directement responsables de la récupération illicite des données de connexion à des fins d’identification unique. Les chercheurs expliquent que deux scripts publicitaires sont en cause : AdThink et OnAudience qui injectent des formulaires invisibles que le gestionnaire de mots de passe du navigateur va remplir automatiquement si cette fonctionnalité est activée.

Les adresses email sont alors hachées par diverses fonctions (MD5, SHA1, SHA256) afin de générer une empreinte mathématique unique qui servira à tracker l’internaute sur différents sites qui utilisent les scripts en question. C’est une manière pour les publicitaires d’affiner le profilage sans forcément compter sur les cookies et autres formes de tracking. Et cela est rendu possible par le fait que les internautes utilisent le plus souvent la même adresse email pour de multiples services.

Sur les un million de sites les plus visités au monde, les chercheurs en ont identifié 1110 qui sont partenaires des deux régies indiquées plus haut. La liste qui compte plusieurs sites francophones est fournie à cette adresse.

Les scripts analysés se contentent des noms d’utilisateurs et des adresses email. Mais rien n’empêche d’autres scripts de ce genre d’aspirer les mots de passe, comme ça a déjà été le cas par le passé.

Comment se protéger ?

Malheureusement, la plupart des gestionnaires de mot de passe intégrés aux navigateurs ne permettent pas de désactiver le remplissage automatique. C’est le cas pour celui de Google Chrome et de Microsoft Edge. Mais si vous utilisez Firefox, il y a une option pour désactiver le remplissage automatique des identifiants, mais elle est cachée dans les paramètres about:config.

Pour désactiver la fonction dans Firefox, il faut :

  • Saisir about:config dans la barre d’adresse
  • Cliquer sur « Je prends le risque »
  • Rechercher le paramètre signon.autofillForms en le saisissant dans la barre de recherche
  • Double-cliquer sur la ligne pour faire passer la valeur de « true » à « false »
  • Redémarrez le navigateur

Si vous utilisez Chrome et souhaitez éviter d’être victime de la faille, mieux vaudrait utiliser un gestionnaire de mots de passe tiers comme 1Password, LastPass ou encore KeePass. la société AgilBits, qui édite la solution 1Password a rappelé que son utilitaire n’intègre pas une fonctionnalité de remplissage automatique. Il requiert toujours une action de l’utilisateur.

Avec les autres solutions comme LastPass, il est possible de faire pareil en désactivant le remplissage automatique. Selon l’outil que vous utilisez, suivez la procédure fournie par l’éditeur.

Pour accéder au rapport de cette étude, c’est par ici.

Newsletter

Abonnez-vous et recevez nos dernières actus & bons plans directement dans votre boite email.

Derniers articles
  • Comment accélérer ou ralentir une vidéo YouTube
    La possibilité d’accélérer ou de ralentir une vidéo sur YouTube peut être très utile. Il était possible de le faire dans la version web de la plateforme depuis un moment…

    Comment faire

  • Facebook : comment désactiver la lecture automatique des vidéos
    Facebook vous permet de désactiver la lecture automatique des vidéos dans votre fil d’actualité. C’est très simple, même si le cheminement n’est pas une évidence pour qui ne l’a jamais…

    Comment faire

  • Google Chrome : comment activer le mode lecture caché ?
    Google Chrome intègre un mode lecture qui vous permet de consulter une page dans des conditions optimales. La fonctionnalité est toutefois cachée dans les entrailles du navigateur. Dans ce tutoriel,…

    Comment faire

  • Comment savoir si un contact vous a bloqué sur WhatsApp
    Il est facile de savoir si un contact vous a bloqué sur WhatsApp, mais certains indicateurs peuvent aussi vous tromper en vous le faisant croire injustement. Dès lors, comment savoir…

    Comment faire