Accueil
Comment votre navigateur peut vous trahir en voulant vous faciliter la vie
Un formulaire Web, de ceux qu'on rencontre sur tous les sites d'e-commerce, peut accéder à la totalité des données stockées dans un profil de remplissage automatique, sans que l'utilisateur soit au courant.
Si vous passez beaucoup de temps sur le web, il y a des chances que vous utilisiez la fonction de remplissage automatique de votre navigateur. C'est normal, cela permet de gagner beaucoup de temps. Vous n'avez ainsi plus besoin de saisir à chaque fois votre adresse postale, votre numéro de téléphone ou même simplement votre email. Pourtant, cette fonction n'est pas totalement inoffensive, comme vient de le montrer le hacker finlandais Viljami Kuosmanen.
Ainsi, un formulaire qui ne vous demande que votre nom et votre adresse Web pourrait, une fois le remplissage automatique validé, récupérer aussi toutes les autres données contenues dans votre profil. Par exemple : l'adresse, le numéro de téléphone, le code postal, les données de carte bancaire, etc. Tout dépend de ce que vous avez stocké dans ce profil. Un site malveillant pourrait ainsi vous extirper des informations que nous n'avez pas forcément envie de partager avec lui.
Pour prouver ses propos, le hacker a mis en ligne une page de démonstration qui n'affiche que deux champs à remplir. Le code sous-jacent, toutefois, tente de récupérer beaucoup d'autres champs d'information qui ne sont pas visibles sur la page. L'expert a enregistré une séquence d'identification sous Chrome tout en visualisant la totalité des données récupérées.
Cette attaque fonctionne de la même manière avec Safari. Ce n'est pas le cas, en revanche, sur Firefox où le remplissage d'un champ d'information doit être validé un par un par l'utilisateur, ce qui n'est donc pas possible pour les champs invisibles.
L'attaque fonctionne en partie avec l'extension Lastpass, qui possède également une fonction de remplissage automatique. Toutefois, il y a un garde-fou : l'utilisateur est prévenu par une fenêtre d'alerte que la page souhaite accéder aux données de carte bancaire.
Dès lors, pour se protéger, le mieux est encore de désactiver cette fonction de remplissage automatique, quitte à perdre du temps sur les formulaires.
Un formulaire Web, de ceux qu'on rencontre sur tous les sites d'e-commerce, peut accéder à la totalité des données stockées dans un profil de remplissage automatique, sans que l'utilisateur soit au courant.
Si vous passez beaucoup de temps sur le web, il y a des chances que vous utilisiez la fonction de remplissage automatique de votre navigateur. C'est normal, cela permet de gagner beaucoup de temps. Vous n'avez ainsi plus besoin de saisir à chaque fois votre adresse postale, votre numéro de téléphone ou même simplement votre email. Pourtant, cette fonction n'est pas totalement inoffensive, comme vient de le montrer le hacker finlandais Viljami Kuosmanen.
Ainsi, un formulaire qui ne vous demande que votre nom et votre adresse Web pourrait, une fois le remplissage automatique validé, récupérer aussi toutes les autres données contenues dans votre profil. Par exemple : l'adresse, le numéro de téléphone, le code postal, les données de carte bancaire, etc. Tout dépend de ce que vous avez stocké dans ce profil. Un site malveillant pourrait ainsi vous extirper des informations que nous n'avez pas forcément envie de partager avec lui.
Pour prouver ses propos, le hacker a mis en ligne une page de démonstration qui n'affiche que deux champs à remplir. Le code sous-jacent, toutefois, tente de récupérer beaucoup d'autres champs d'information qui ne sont pas visibles sur la page. L'expert a enregistré une séquence d'identification sous Chrome tout en visualisant la totalité des données récupérées.
Cette attaque fonctionne de la même manière avec Safari. Ce n'est pas le cas, en revanche, sur Firefox où le remplissage d'un champ d'information doit être validé un par un par l'utilisateur, ce qui n'est donc pas possible pour les champs invisibles.
L'attaque fonctionne en partie avec l'extension Lastpass, qui possède également une fonction de remplissage automatique. Toutefois, il y a un garde-fou : l'utilisateur est prévenu par une fenêtre d'alerte que la page souhaite accéder aux données de carte bancaire.
Dès lors, pour se protéger, le mieux est encore de désactiver cette fonction de remplissage automatique, quitte à perdre du temps sur les formulaires.
