Des scripts publicitaires traquent les utilisateurs via les gestionnaires de mots de passe du navigateur

Par

le

Le gestionnaire de mots de passe intégré à votre navigateur pourrait être exploité pour partager votre adresse e-mail avec des annonceurs sans votre permission.

Les gestionnaires de mots de passe intégrés aux navigateurs populaires tels que Google Chrome et Mozilla Firefox peuvent être exploités par des scripts tiers intégrés dans une page Web, et potentiellement révéler les mots de passe des utilisateurs. Un exemple de script est hébergé par le blog technique Freedom To Tinker où le webmaster a créé une page de démonstration demandant aux utilisateurs une fausse adresse e-mail et un mot de passe, puis les « sniffant » en utilisant le script en question sur une page. Cet exploit fonctionne sur divers navigateurs avec très peu de variation.

L’exploit peut voler des mots de passe, mais sur un échantillon de 50 000 sites, aucun n’a été trouvé opérant de la sorte. Au lieu de cela, les utilisateurs étaient suivis sur plusieurs de ces sites, avec des données de suivi uniques étant collectées et envoyées à des destinataires inconnus. Ce script particulier est juste un exemple de toutes les manières possibles d’exploiter les gestionnaires de mots de passe intégrés aux navigateurs, bien qu’il faille noter que ces scripts n’affectent pas les gestionnaires de mots de passe tiers. 1Password, par exemple, bloque spécifiquement ce type d’attaque en remplissant uniquement les champs e-mail et mot de passe lorsqu’un utilisateur le demande, plutôt que de les remplir automatiquement lors du chargement d’une page. Jusqu’à présent, la plupart des principaux navigateurs du marché ont été réticents à mettre en œuvre des comportements similaires, les laissant vulnérables à des scripts comme celui-ci.

La sécurité des mots de passe est l’un des moyens les plus importants pour les utilisateurs de se protéger sur Internet, et la prise de conscience des risques de sécurité comme celui-ci en est une grande partie. Il existe de nombreuses autres façons de compromettre les données d’un utilisateur. Ce script attaque les gestionnaires de mots de passe du navigateur à un niveau assez profond, ce qui signifie qu’il pourrait y avoir d’autres scripts qui agissent de la même manière. Il existe de nombreux exploits pour Windows, Linux, Mac et les appareils mobiles qui utilisent des vulnérabilités de logiciel système en tandem avec des logiciels spéciaux qui peuvent être implémentés sur la machine d’un utilisateur involontairement ou regroupés avec un logiciel que l’utilisateur veut réellement. Même si les utilisateurs sont de plus en plus conscients des risques de sécurité en ligne et que les fabricants de logiciels et de matériel renforcent la sécurité de leur côté, les utilisateurs doivent garder à l’esprit qu’il n’y a aucun moyen d’être vraiment en sécurité.