Les gestionnaires de mots de passe des navigateurs rackettés par le tracking publicitaire

Vos mots de passe sont suivis à la trace par les régies publicitaires.

Presque tous les navigateurs Web sont maintenant équipés d’un gestionnaire de mots de passe, une version allégée d’un service proposé à l’origine par des plugins comme LastPass et 1Password. Mais selon de nouvelles recherches menées par le Centre de Technologie et Programme Informatique de Princeton (PCITP), ces mêmes gestionnaires sont exploités comme moyen de tracer les utilisateurs dans leur navigation.

Des formulaires invisibles pour tromper les navigateurs

Les chercheurs ont examiné deux scripts différents (AdThink et OnAudience) conçus pour extraire des informations des gestionnaires de mots de passe basés sur un navigateur. Les scripts fonctionnent en injectant des formulaires de connexion invisibles en arrière-plan de la page web, et récupèrent tout ce que les navigateurs remplissent automatiquement dans les formulaires disponibles. Ces informations peuvent ensuite être utilisées comme un identifiant persistant pour suivre les utilisateurs d’une page à l’autre, un outil précieux pour cibler la publicité.

Une sécurité à revoir

Les plugins se concentrent avant tout sur les noms d’utilisateurs, mais selon les chercheurs, il n’y a aucun moyen d’empêcher les scripts de collecter les mots de passe de la même manière. La seule solution valable serait de changer le fonctionnement des gestionnaires de mots de passe, qui nécessiterait une approbation explicite de l’utilisateur avant de soumettre les données. « Ce ne sera pas facile à modifier, mais cela en vaut la peine« , déclare Arvind Narayanan, professeur d’informatique à Princeton qui a travaillé sur le sujet.

Dans le cas du gestionnaire 1Password, cette technique de confirmation par l’utilisateur permet d’esquiver cette subtilisation des données. Dans le cas de Google Chrome, cette même manipulation qui pourrait être perçue comme un défaut par l’utilisateur est également de mise. En revanche, pour Safari, Edge, Firefox, et les autres gestionnaires de mot de passe, ce n’est malheureusement pas le cas.

Dans le cas d’AdThink, cette information était également acheminée vers Axciom, un grand courtier de données sur les consommateurs. Ces données sont du pains béni pour les publicitaires, qui peuvent les utiliser pour (encore) affiner leur ciblage publicitaire. Pour le professeur Narayanan, le blâme va aux sites Web qui choisissent d’exécuter ce type de scripts sans réaliser à quel point ils peuvent être envahissants.


Répondre