Les annonceurs ont trouvé une nouvelle façon de vous suivre. Selon Liberté de bricoler , quelques réseaux publicitaires abusent désormais des scripts de suivi pour capturer les adresses e-mail que votre gestionnaire de mots de passe remplit automatiquement sur les sites Web.
Mais cela empire: ils pourraient également utiliser cette technologie pour capturer vos mots de passe, s'ils le voulaient. Cela concerne tous ceux qui utilisent un gestionnaire de mots de passe, qu'il s'agisse d'un gestionnaire de mots de passe intégré comme celui de Chrome, Firefox ou Edge, ou d'une extension de navigateur comme Dernier passage . Par conséquent, vous devriez probablement désactiver la fonction de remplissage automatique pour éviter que cela ne se produise.
Comment la saisie automatique perd vos informations
Lorsque vous enregistrez votre nom d'utilisateur et votre mot de passe sur un site Web, votre gestionnaire de mots de passe les mémorise. À partir de là, il tentera de les remplir automatiquement dans les champs de nom d'utilisateur et de mot de passe qu'il verra sur ce site Web. Cela rend la connexion plus rapide, car il vous suffit de cliquer sur «Connexion».
Mais certains scripts publicitaires tiers - ceux que presque tous les sites Web utilisent - commencent à les utiliser pour vous suivre. Ils fonctionnent en arrière-plan, créent de faux champs de connexion et de mot de passe que vous ne pouvez même pas voir, et capturent les informations d'identification que votre gestionnaire de mots de passe les remplit.
Vous pouvez voir ce problème par vous-même en visitant cette page de démonstration . Saisissez une fausse adresse e-mail et un faux mot de passe, et vous serez invité à les enregistrer dans le gestionnaire de mots de passe de votre navigateur. Continuez et il sera rempli automatiquement en arrière-plan, avec le script capturant l'adresse e-mail et le mot de passe.
Ce site de démonstration ne présente actuellement aucun problème si vous utilisez LastPass, mais tout ce qui remplit automatiquement les noms d'utilisateur et les mots de passe sans intervention de l'utilisateur - LastPass inclus - est théoriquement vulnérable.
Vous avez besoin de mots de passe uniques partout, les gestionnaires de mots de passe sont donc toujours essentiels
EN RELATION: Pourquoi utiliser un gestionnaire de mots de passe et comment démarrer
Ce problème démontre l'importance d'utiliser des mots de passe uniques sur chaque site Web. Ce n’est pas seulement une attaque théorique - il est en fait utilisé par les annonceurs sur 1110 des un million de sites Web les plus populaires aujourd’hui, selon Freedom to Tinker. Les annonceurs utilisent actuellement cette technique uniquement pour capturer les noms d'utilisateur et les adresses e-mail, mais rien ne les empêche également de capturer des mots de passe, si l'on était un jour d'humeur particulièrement néfaste.
Si un annonceur a capturé votre mot de passe sur un site Web, le pire qu'une personne disposant de ces données puisse faire est de se connecter à ce site Web. Ce n’est pas idéal, mais ce n’est pas la pire des choses qui puisse arriver. si vous utilisez le même mot de passe pour ce site Web que pour votre compte de messagerie, cette personne pourrait alors accéder à votre compte de messagerie et l'utiliser pour accéder à vos autres comptes. C'est le pire qui puisse arriver.
C'est pourquoi nous recommandons toujours d'utiliser un gestionnaire de mots de passe , peu importe ce que. Compte tenu de tous les différents comptes que possède une personne moyenne en ligne et de la fréquence des attaques contre ces sites Web, il est impératif que vous utilisiez un mot de passe unique pour chaque site que vous visitez. La meilleure façon de le faire est d'utiliser un gestionnaire de mots de passe - ne jetez pas le bébé avec l'eau du bain.
Protégez-vous en désactivant la saisie automatique
Cependant, vous pouvez toujours atténuer certains de vos risques liés à ces scripts en désactivant la saisie automatique dans votre gestionnaire de mots de passe. Par exemple, si vous utilisez LastPass (qui n'est actuellement pas affecté par ces scripts, mais pourrait théoriquement l'être), la fonction de remplissage automatique remplit les champs de connexion avec vos informations d'identification afin que vous puissiez simplement cliquer sur «Connexion». Si vous désactivez la fonction de saisie automatique, vous devrez cliquer sur l'icône LastPass dans un champ de mot de passe et cliquer sur votre nom d'utilisateur pour remplir vos informations enregistrées. Vous ne le ferez que lorsque vous tenterez de vous connecter. Cela devrait donc éviter que vos identifiants ne soient récupérés. Vous ne les vaporisez plus sur toutes les pages.
Vous pouvez également simplement copier-coller les noms d'utilisateur et les mots de passe à partir du gestionnaire de mots de passe de votre choix, ce qui vous rendrait encore plus sûr, mais nettement moins pratique. Nous pensons que le choix de lancer manuellement le remplissage automatique uniquement sur les pages de connexion devrait être un bon compromis entre la sécurité et la commodité. Si ces pages de connexion étaient compromises avec un tel script, rien ne pourrait vous aider, de toute façon - le script pourrait lire vos informations de connexion même si vous les copiez-colliez ou les tapiez manuellement.
Malheureusement, la plupart des gestionnaires de mots de passe de navigateur ne vous permettent pas de désactiver la saisie automatique. Il n'y a aucun moyen de désactiver la fonction de remplissage automatique si vous utilisez le gestionnaire de mots de passe intégré dans Google Chrome ou Microsoft Edge, par exemple. Chrome a une option pour désactiver la saisie automatique, mais il désactive uniquement la saisie automatique des données telles que les adresses et les numéros de téléphone, pas les mots de passe. Il existe une option pour désactiver la saisie automatique des mots de passe dans le gestionnaire de mots de passe de Mozilla Firefox, mais elle est masquée dans about: config .
Si vous utilisez le gestionnaire de mots de passe intégré dans Chrome ou Edge, nous vous encourageons à passer à un gestionnaire de mots de passe tiers offrant plus de contrôle, comme Dernier passage ou 1Mot de passe . 1Password n'est pas concerné par ce problème car il n'inclut pas une fonction de remplissage automatique.
Dans LastPass, vous pouvez désactiver le remplissage automatique en cliquant sur le bouton d'extension LastPass dans la barre d'outils de votre navigateur et en cliquant sur «Préférences». Décochez l'option «Remplir automatiquement les informations de connexion» sous Général, puis cliquez sur «Enregistrer» pour enregistrer vos modifications.
Si vous souhaitez continuer à utiliser le gestionnaire de mots de passe de Firefox, vous devez taper "about: config" dans la barre d'adresse de Firefox et appuyer sur Entrée. Vous verrez un écran d'avertissement vous informant que la modification de divers paramètres ici pourrait entraîner des problèmes. Ne vous inquiétez pas, si vous modifiez simplement le paramètre unique que nous vous signalons, tout ira bien. Cliquez sur "J'accepte le risque!" continuer.
Tapez "autofillForms" dans la zone de recherche et double-cliquez sur la préférence "signon.autofillForms" pour la définir sur "false". Firefox ne remplira plus automatiquement les noms d'utilisateur et les mots de passe sans votre permission.
Si vous utilisez un autre gestionnaire de mots de passe, vous devez ouvrir ses préférences et désactiver l'option «remplissage automatique» ou «remplissage automatique» pour vous assurer que votre gestionnaire de mots de passe ne divulguera pas vos informations personnelles.
Les développeurs de navigateurs et de gestionnaires de mots de passe doivent repenser les gestionnaires de mots de passe pour les rendre plus sécurisés. Ils ne doivent pas essayer de renseigner automatiquement vos données de connexion sur chaque page Web que vous visitez sur un site Web particulier. C'est juste demander des ennuis. Mais, pour l'instant, vous pouvez désactiver le remplissage automatique pour vous rendre plus sûr.
Image Credit: Vlad est /Shutterstock.com.
