 |
| Chrome, Safari, Firefox, Edge n'arrivent plus à Sécuriser nos Identifiants de Connexion qu'ils enregistrent |
Les gestionnaires de mot de passe présent dans les navigateurs web tels que Chrome, Firefox, Safari
et Edge ont du mal à sécuriser nos adresses e-mail et mot de passe que nous y enregistrons.
Si vous avez l’habitude de sauvegarder vos identifiants de connexion (pseudo, adresse e-mail, mot de passe) dans le gestionnaire de mot de passe de votre navigateur internet, sachez que vos données de connexion ne sont pas à l’abri d’un piratage informatique.
En effet, une étude menée par trois spécialistes en sécurité informatique de l’université de Princeton, Gunes Acar, Steven Englehardt et Arvind Narayanan révèle que certains sites internet utilisent des scripts pour récupérer et exfiltrer les identifiants des utilisateurs enregistrés dans les navigateurs internet sans que l’utilisateur en soit conscient.
Le procédé utilisé par le script est assez simple. Imaginons qu’un utilisateur visite un site qui utilise ce genre de script et qu’il remplit un formulaire de connexion sur la page du site visité et enregistre ses données de connexion dans le gestionnaire de mot de passe de son navigateur.
Le script de suivi n’est pas installé sur la page de connexion des sites mais il est installé sur les autres pages.
Donc si l’utilisateur visite une autre page du même site, alors le script insère un formulaire de connexion invisible, qui est automatiquement rempli par le gestionnaire de mot de passe du navigateur.
Le script récupère ainsi l’adresse e-mail de l’utilisateur et l’envoi à des serveurs tiers après l’avoir transformé en une série de caractères unique (hachée).
Une fois en possession de votre adresse e-mail ou de votre pseudo, les auteurs de ces scripts peuvent retracer vos activités en ligne et revendre les informations recueillies sur vous à des entreprises spécialisées dans le ciblage publicitaire.
Selon les chercheurs, les adresses e-mail sont uniques et utilisés sur différentes plateformes à travers internet. Donc le hachage d’une adresse e-mail est un excellent identifiant de suivi car la suppression des cookies, l’utilisation du mode de navigation privée ou le changement d’appareil n’empêcheront pas le suivi de vos activités sur Internet.
Toujours selon les trois chercheurs, le hachage d’une adresse e-mail peut être utilisé pour connecter les éléments d’un profil en ligne dispersés sur différents navigateurs, appareils et applications mobiles.
Trois parties sont concernées par cette situation : les éditeurs de site web, les internautes et les développeurs de navigateurs web.
Les éditeurs de site web sont appelés à isoler les formulaires de connexion en les plaçant sur un sous-domaine distinct, ce qui empêchera le remplissage automatique de s’exécuter sur les autres pages du site en dehors de la page de connexion.
Quant aux internautes, les experts en sécurité informatique leur recommandent d’installer des bloqueurs de publicités ou des extensions de protection contre le suivi par des scripts tiers invasif.
Pour terminer, les navigateurs internet tels que Chrome, Firefox, Safari, Edge et autres doivent permettre aux utilisateurs de désactiver le remplissage automatique des formulaires de connexion ou au moins d’exiger une interaction de l’utilisateur avant de remplir automatiquement les formulaires de connexion.
et Edge ont du mal à sécuriser nos adresses e-mail et mot de passe que nous y enregistrons.
Si vous avez l’habitude de sauvegarder vos identifiants de connexion (pseudo, adresse e-mail, mot de passe) dans le gestionnaire de mot de passe de votre navigateur internet, sachez que vos données de connexion ne sont pas à l’abri d’un piratage informatique.
En effet, une étude menée par trois spécialistes en sécurité informatique de l’université de Princeton, Gunes Acar, Steven Englehardt et Arvind Narayanan révèle que certains sites internet utilisent des scripts pour récupérer et exfiltrer les identifiants des utilisateurs enregistrés dans les navigateurs internet sans que l’utilisateur en soit conscient.
Le procédé utilisé par le script est assez simple. Imaginons qu’un utilisateur visite un site qui utilise ce genre de script et qu’il remplit un formulaire de connexion sur la page du site visité et enregistre ses données de connexion dans le gestionnaire de mot de passe de son navigateur.
Le script de suivi n’est pas installé sur la page de connexion des sites mais il est installé sur les autres pages.
Donc si l’utilisateur visite une autre page du même site, alors le script insère un formulaire de connexion invisible, qui est automatiquement rempli par le gestionnaire de mot de passe du navigateur.
Le script récupère ainsi l’adresse e-mail de l’utilisateur et l’envoi à des serveurs tiers après l’avoir transformé en une série de caractères unique (hachée).
Vous pouvez être victime d’un ciblage publicitaire
Une fois en possession de votre adresse e-mail ou de votre pseudo, les auteurs de ces scripts peuvent retracer vos activités en ligne et revendre les informations recueillies sur vous à des entreprises spécialisées dans le ciblage publicitaire.
Selon les chercheurs, les adresses e-mail sont uniques et utilisés sur différentes plateformes à travers internet. Donc le hachage d’une adresse e-mail est un excellent identifiant de suivi car la suppression des cookies, l’utilisation du mode de navigation privée ou le changement d’appareil n’empêcheront pas le suivi de vos activités sur Internet.
Toujours selon les trois chercheurs, le hachage d’une adresse e-mail peut être utilisé pour connecter les éléments d’un profil en ligne dispersés sur différents navigateurs, appareils et applications mobiles.
Comment empêcher le vol des identifiants de connexion par ces scripts
Trois parties sont concernées par cette situation : les éditeurs de site web, les internautes et les développeurs de navigateurs web.
Les éditeurs de site web sont appelés à isoler les formulaires de connexion en les plaçant sur un sous-domaine distinct, ce qui empêchera le remplissage automatique de s’exécuter sur les autres pages du site en dehors de la page de connexion.
Quant aux internautes, les experts en sécurité informatique leur recommandent d’installer des bloqueurs de publicités ou des extensions de protection contre le suivi par des scripts tiers invasif.
Pour terminer, les navigateurs internet tels que Chrome, Firefox, Safari, Edge et autres doivent permettre aux utilisateurs de désactiver le remplissage automatique des formulaires de connexion ou au moins d’exiger une interaction de l’utilisateur avant de remplir automatiquement les formulaires de connexion.
Aucun commentaire:
Enregistrer un commentaire