Se rappeler des mots de passe différents pour la panoplie de sites que nous visitons au quotidien est un véritable défi. Combien de fois n’avez-vous pas du appuyer sur le lien “mot de passe oublié” pour en générer un nouveau ? Certains services ont compris l’aberration du mot de passe classique et vous proposent de vous authentifier via un code reçu par SMS ou une notification push dans une appli dédiée. Cela vous évite de devoir constamment repasser par la case email. C’est la technique la plus sécurisée, qu’on retrouve aussi dans le processus de double authentification.
Mais nombreux sont les utilisateurs qui ont recours aux fonctionnalités d’encodage / remplissage automatique du mot de passe proposées par les navigateurs. À défaut d’avoir des sites dotés d’un mode d’authentification plus sophistiqué (sms / notification), c’est bien pratique et cela vous évite d’utiliser tout le temps un même mot de passe, trop facile à craquer. Mais cela peut présenter des risques, comme l’ont démontré des chercheurs de l’Université de Princeton. Il est en effet possible pour des hackers d’enregistrer votre navigation en détournant l’usage de cet outil de login.
Comment ça marche ? Concrètement un script malicieux affiche sur une page web un formulaire de login invisible qui appelle les données du gestionnaire de mots de passe de votre navigateur et les enregistre, afin de créer un identifiant persistant qui vous suit tout au long de vos pérégrinations sur le web, suivant le principe exposé dans cette démo. A priori le mot de passe n’est pas récupéré en clair mais le hacker pourrait éventuellement croiser l’email avec des données récoltées par ailleurs, surtout s’il réussit à capter l’encodage de la paire email / mot de passe sur le site d’origine.
Le but principal de la manoeuvre est d’alimenter le profil de navigation des utilisateurs sur base de leurs adresses email, l’identifiant persistant le plus efficace à la disposition des marketers. L’adresse email récupérée au vol par les formulaires invisibles est transformée en un hash unique envoyé à un serveur qui compile toutes les informations. Cela permet de vous suivre à la trace même si vous effacez vos cookies.
L’équipe de chercheurs a découvert la présence de tels scripts sur 1110 sites du Top 1 million d’Alexa ! Plusieurs parades sont proposées, notamment l’hébergement des formulaires de login sur des domaines dédiés, sécurisés contre les intrusions potentielles. Et du côté navigateur la désactivation du login automatique ou à tout le moins (mais cela dépend du concepteur du navigateur) l’affichage d’une alerte avant le remplissage d’un formulaire. Si vous êtes à la recherche d’un navigateur qui place la sécurité au top de ses priorités, on vous propose de découvrir le nôtre, URbrowser.
Un surfeur averti en vaut deux !
