Magazine Mondial 7J/7





Pourquoi faut-il se méfier des gestionnaires de mots de passe de Chrome ou Firefox?

04/01/2018 - écrit par itopvie.fr - Lu 49 fois

Pour faciliter la constitution du profil comportemental des internautes, certaines sociétés de marketing n'hésitent pas à extraire les identifiants stockés dans les navigateurs des gestionnaires de mots de passe.



Pour se connecter à ses comptes en ligne (sites marchands, administrations, banques, etc.), quoi de plus pratique que d'utiliser l'entrée automatique que proposent les gestionnaires de mots de passe intégrés aux navigateurs? Chrome, Firefox ou Edge ont en effet depuis longtemps pu enregistrer votre identifiant et votre mot de passe, et les renvoyer automatiquement lorsqu'ils tombent sur le formulaire d'authentification du site en question.

Le problème est que cette approche présente le risque de voir ses identifiants aspirés par des sociétés de marketing spécialisées dans le ciblage publicitaire. C'est ce que viennent de révéler les chercheurs Gunes Acar, Steven Englehardt et Arvind Narayan de l'université de Princeton. Ils ont détecté deux scripts d'analyse statistique et marketing, AdThink et OnAudience, qui permettent de récupérer les informations de connexion des utilisateurs pour un site donné.

Le principe est assez simple: une fois connecté à un site, l'utilisateur navigue sur des pages différentes, dont l'une contient le célèbre script marketing. Cela génère un formulaire de connexion invisible que le navigateur remplira automatiquement. Le script capture l'identifiant - qui est souvent une adresse email - et en génère une empreinte mathématique (hash MD5, SHA1, SHA256) qui sera envoyée aux serveurs du fournisseur marketing.

Ces scripts collectent également d'autres informations sur la configuration du navigateur et les actions de l'utilisateur. L'avantage de récupérer l'empreinte de l'identifiant est que toutes ces informations pourront être associées à une valeur unique, loin d'être anonyme.

"Pour savoir si un utilisateur est dans l'ensemble de données, il suffit de hacher l'adresse e-mail de l'utilisateur et effectuer une recherche", disent les chercheurs dans une note de blog. Cette collection facilite ainsi grandement le ciblage comportemental et publicitaire des internautes. L'empreinte digitale permet aux sociétés de marketing de comparer leurs ensembles de données entre eux et d'établir un profil complet de l'utilisateur.

Cette extraction fonctionne si l'éditeur de site ne prend aucune précaution lorsqu'il intègre le script de son partenaire marketing. Logiquement, le navigateur doit considérer ce code comme provenant d'un tiers et, conformément au principe de séparation des origines (Politique de même origine), ne pas insérer les identifiants dans le formulaire. "Cependant, si un éditeur intègre le script tiers sans l'isoler dans un iframe, il est considéré comme en provenant", expliquent les chercheurs.

187 sites français épinglés

En bref, ce n'est pas une violation de la sécurité, mais une mauvaise pratique de la part des éditeurs. Cette pratique est d'autant plus dangereuse que des scripts tiers pourraient également aspirer ni vu ni connu le mot de passe de l'utilisateur. Parmi les 1 million de plus grands sites Web, les chercheurs ont compté 1110 en utilisant les deux scripts mentionnés ci-dessus. La liste des sites concernés est disponible en ligne avec la possibilité de mener des recherches. Parmi les 187 sites français, on distingue notamment les sites conrad.fr, lemondeinformatique.fr, leslipfrancais.fr, toner.fr et acheter-louer.fr.

Pour te protéger, ce n'est pas si facile. Seul Firefox permet de désactiver l'entrée automatique des identifiants via le paramètre "signon.autofillForms", mais au prix d'une utilisation beaucoup moins confortable. Pour accéder aux identifiants, il faut ensuite toujours parcourir la section "Paramètres".

Mieux alors, dans ce cas, utilisez un gestionnaire de mot de passe tel que KeePass, qui donne plus de choix dans la configuration de l'entrée automatique. Vous pouvez également utiliser une extension qui bloque les cookies, comme Adblock Plus (en activant Easy Privacy List), Privacy Badger ou Disconnect. Malheureusement, ces outils ne référencent pas nécessairement tous les scripts tiers.

avec 01net


Notez
04/01/2018 - écrit par itopvie.fr - Lu 49 fois



Dans la même rubrique :
< >

Finance | Débat / Réflexion | France - Société | Bon à Savoir | Santé | Nutrition | Alerte Prévention | Femmes Leaders | Amour & Couple | Bien être | Buzz du net | Succès Story | Trucs & Astuces | Mariage | Mobile | High Tech | Confidence | Femme Active | News People | Beauté | Sans Tabou | Articles Sponsorisés | Bébé - Enfant - Ado | Insolite | Histoire Vécue | Maman | Redaction | Science Tech | Affaire à Suivre | Cuisine | Conseils | Innovation | La Femme | Info Utile | France - Entreprendre | Banques | Informatique | Infos Plus | Réseaux sociaux | Hommes Leaders | Sexualité | Shopping / E-Book | Outil Création | Outil Gestion | Culture | Belgique - Société | Italie - Société | News showbiz | Etats Unis - Société | Télécom | Inde - Société | Mode | Arabie Saoudite - Société | Voyages | Nécrologie | La Maison | Vos Droits | Vie Etudiante | Immobilier | Management




Twitter
Facebook
Mobile
Newsletter