Les données des gestionnaires de password “aspirées” par certaines publicités ?
De nos jours, pour accéder aux différents
services et sites web en ligne, il est nécessaire de faire appel à des
utilitaires spécifiques pour retenir les centaines de mots de passe utilisés au
quotidien. Safari intègre d’ailleurs un gestionnaire de mot de passe, tandis
qu’il existe différentes alternatives, comme 1Password
disponible ici sur l’App Store ou LastPass
disponible ici sur l’App Store.
Mais attention, des chercheurs en sécurité informatique de l’université de
Princeton ont découvert que certaines publicités aspirent les
données renseignées par les extensions de ces gestionnaires de
mots de passe pour les navigateurs, afin de suivre les
déplacements des utilisateurs sur la toile.
Les chercheurs expliquent la méthode utilisée par certaines publicités pour
suivre les faits et gestes des utilisateurs quand ils naviguent d’un site à un
autre.
D’après ces derniers, sur les sites qui hébergent certains scripts
publicitaires, quand un utilisateur fait appel à une extension de gestionnaire
de mot de passe pour remplir automatiquement les champs de connexion, cela
rentre également ces informations dans un autre formulaire invisible inséré par
un script.
Ce script de suivi envoie ensuite ces informations et en particulier
l’adresse mail de l’utilisateur à un serveur tiers. Les informations sont
utilisées pour suivre les déplacements des internautes ciblées par ces
scripts.
Il semble pour le moment que ces scripts ne puissent capturer que des
informations lisibles, comme l’identifiant, mais pas le mot de passe.
Nous allons surveiller la réaction des éditeurs, en attendant il est
conseillé de désinstaller ou désactiver les plug-ins de gestionnaires de mots
de passe.
C’est bien dommage, car ces derniers sont bien pratiques dans une
utilisation au quotidien. Toutefois, ils devraient logiquement être mis à jour
pour corriger cette faille de sécurité dans un temps, espérons-le, le plus
court possible.
User147351497230 (posté avec l'app i-nfo.fr V2)
2 janvier 2018 à 22 h 43 min
Et comment ??
Berinieth
2 janvier 2018 à 20 h 45 min
@Olivier
1Password (les autres je ne sais pas) est totalement intégré au navigateur
(Safari, Firefox, etc…).
Arrivé sur le site sur lequel on souhaite se connecter, on saisi son mot de
passe maitre, et 1Password rempli de lui-même les champs de connexion.
Donc rien n’empêche le comportement du script décrit dans la news. Le seul
moyen de l’éviter serait de faire un copier/coller à la main (des login et
password) au lieu de laisser 1Password faire le remplissage
automatiquement.
Raymond (posté avec l'app i-nfo.fr V2)
2 janvier 2018 à 20 h 15 min
Pas plus que l’utilisation de Google comme moteur de recherche !
MID 53 (posté avec l'app i-nfo.fr V2)
2 janvier 2018 à 17 h 30 min
Quand on est pas pointu en informatique on ne comprends rien dans votre
charabia
Le plus simple serait d’expliquer clairement la méthode pour éviter ces
problèmes…..
Birlou (posté avec l'app i-nfo.fr V2)
2 janvier 2018 à 15 h 11 min
@Olivier merci pour cette précision
Gator95 (posté avec l'app i-nfo.fr V2)
2 janvier 2018 à 14 h 42 min
Cela dit, les publicitaires arrivent aujourd’hui de plus en plus à
outrepasser les bloqueurs quand ce ne sont pas tout simplement les sites qui
vous interdisent l’accès s’ils détectent un bloqueur (de plus en plus
fréquent)
?
sylvainclem (posté avec l'app i-nfo.fr V2)
2 janvier 2018 à 13 h 01 min
Oui tu as raison. Mais bon, ce n’est jamais rassurant
Olivier (posté avec l'app i-nfo.fr V2)
2 janvier 2018 à 12 h 06 min
L’article parle des gestionnaires de mot de passe intégrés aux navigateurs.
Justement pas des gestionnaires tiers comme 1Password. De toute façon la
solution évidente semble de bloquer les pubs, comme toute personne sensée le
fait depuis des années.