News Business....7J/7
Accueil
Envoyer à un ami
Version imprimable
Augmenter la taille du texte
Diminuer la taille du texte
Partager

Pourquoi faut-il se méfier des gestionnaires de mots de passe de Chrome ou Firefox?

Rédigé le 4 Janvier 2018 à 08:29 | Lu 51 fois

Pour faciliter la constitution du profil comportemental des internautes, certaines sociétés de marketing n'hésitent pas à extraire les identifiants stockés dans les navigateurs des gestionnaires de mots de passe.



Pour se connecter à ses comptes en ligne (sites marchands, administrations, banques, etc.), quoi de plus pratique que d'utiliser l'entrée automatique que proposent les gestionnaires de mots de passe intégrés aux navigateurs? Chrome, Firefox ou Edge ont en effet depuis longtemps pu enregistrer votre identifiant et votre mot de passe, et les renvoyer automatiquement lorsqu'ils tombent sur le formulaire d'authentification du site en question.

Le problème est que cette approche présente le risque de voir ses identifiants aspirés par des sociétés de marketing spécialisées dans le ciblage publicitaire. C'est ce que viennent de révéler les chercheurs Gunes Acar, Steven Englehardt et Arvind Narayan de l'université de Princeton. Ils ont détecté deux scripts d'analyse statistique et marketing, AdThink et OnAudience, qui permettent de récupérer les informations de connexion des utilisateurs pour un site donné.

Le principe est assez simple: une fois connecté à un site, l'utilisateur navigue sur des pages différentes, dont l'une contient le célèbre script marketing. Cela génère un formulaire de connexion invisible que le navigateur remplira automatiquement. Le script capture l'identifiant - qui est souvent une adresse email - et en génère une empreinte mathématique (hash MD5, SHA1, SHA256) qui sera envoyée aux serveurs du fournisseur marketing.


Ces scripts collectent également d'autres informations sur la configuration du navigateur et les actions de l'utilisateur. L'avantage de récupérer l'empreinte de l'identifiant est que toutes ces informations pourront être associées à une valeur unique, loin d'être anonyme.

"Pour savoir si un utilisateur est dans l'ensemble de données, il suffit de hacher l'adresse e-mail de l'utilisateur et effectuer une recherche", disent les chercheurs dans une note de blog. Cette collection facilite ainsi grandement le ciblage comportemental et publicitaire des internautes. L'empreinte digitale permet aux sociétés de marketing de comparer leurs ensembles de données entre eux et d'établir un profil complet de l'utilisateur.

Cette extraction fonctionne si l'éditeur de site ne prend aucune précaution lorsqu'il intègre le script de son partenaire marketing. Logiquement, le navigateur doit considérer ce code comme provenant d'un tiers et, conformément au principe de séparation des origines (Politique de même origine), ne pas insérer les identifiants dans le formulaire. "Cependant, si un éditeur intègre le script tiers sans l'isoler dans un iframe, il est considéré comme en provenant", expliquent les chercheurs.

187 sites français épinglés

En bref, ce n'est pas une violation de la sécurité, mais une mauvaise pratique de la part des éditeurs. Cette pratique est d'autant plus dangereuse que des scripts tiers pourraient également aspirer ni vu ni connu le mot de passe de l'utilisateur. Parmi les 1 million de plus grands sites Web, les chercheurs ont compté 1110 en utilisant les deux scripts mentionnés ci-dessus. La liste des sites concernés est disponible en ligne avec la possibilité de mener des recherches. Parmi les 187 sites français, on distingue notamment les sites conrad.fr, lemondeinformatique.fr, leslipfrancais.fr, toner.fr et acheter-louer.fr.

Pour te protéger, ce n'est pas si facile. Seul Firefox permet de désactiver l'entrée automatique des identifiants via le paramètre "signon.autofillForms", mais au prix d'une utilisation beaucoup moins confortable. Pour accéder aux identifiants, il faut ensuite toujours parcourir la section "Paramètres".

Mieux alors, dans ce cas, utilisez un gestionnaire de mot de passe tel que KeePass, qui donne plus de choix dans la configuration de l'entrée automatique. Vous pouvez également utiliser une extension qui bloque les cookies, comme Adblock Plus (en activant Easy Privacy List), Privacy Badger ou Disconnect. Malheureusement, ces outils ne référencent pas nécessairement tous les scripts tiers.

avec 01net

Notez
Rédigé le 4 Janvier 2018 à 08:29 | Lu 51 fois




Dans la même rubrique :
< >

Lundi 1 Octobre 2018 - 08:15 Les 10 métiers les mieux payés (sans le bac)

Carrières | Amour & Couple | Cuisine | Bon à Savoir | Innovation | Livres / E-Book | Royaume Uni | Conseils | Infos Plus | News Showbiz | Débat / Réflexion | Placement | Article Sponsorisé | Nos Services | Voyages | Science Tech | Mobile | Management | Bien être | Automobile | Bourse | Investissement | Buzz sur le net | Succès Story | Télécom | Femme Actuelle | France | Trucs Astuces | Finance | Transport | Europe | La Femme | Tourisme | News People | Outil Gestion | Outil Création | Info Utile | Bricolage | Interview | Allemagne | Le Qatar | La Chine | Economie Africaine | Réseaux sociaux | Economie - Européenne | Hommes Leaders | Sexualité | Insolite | Internet | Sport International | Shopping | Nutrition | Etats Unis | Monaco | Santé | Canada | Italie | Formation | Alerte Prévention | Immobilier | Vos Droits | Banques | Portrait | News International | Annonces


Twitter
Facebook
Mobile
Rss
YouTube


Inscription à la newsletter



Shopping

Appareil anti ronflement Clip Air, l'espoir pour ceux qui souffrent de ronflements !

BVNews.fr - 31/07/2018 - 0 Commentaire| Lu 622 fois |

FitMotivaction Ceinture de Sudation Abdominale en Néoprène

BVNews.fr - 28/07/2018 - 0 Commentaire| Lu 602 fois |

Minceur Ceinture Vibrante,Brûler les Graisses,Perte Poids Massage

BVNews.fr - 27/07/2018 - 0 Commentaire| Lu 631 fois |

Climatiseur Portable - Ventilateur USB Multifonction

BVNews.fr - 13/07/2018 - 0 Commentaire| Lu 679 fois |