Passer au contenu

Comment votre navigateur peut vous trahir en voulant vous faciliter la vie

Un formulaire Web, de ceux qu’on rencontre sur tous les sites d’e-commerce, peut accéder à la totalité des données stockées dans un profil de remplissage automatique, sans que l’utilisateur soit au courant.  

Si vous passez beaucoup de temps sur le web, il y a des chances que vous utilisiez la fonction de remplissage automatique de votre navigateur. C’est normal, cela permet de gagner beaucoup de temps. Vous n’avez ainsi plus besoin de saisir à chaque fois votre adresse postale, votre numéro de téléphone ou même simplement votre email. Pourtant, cette fonction n’est pas totalement inoffensive, comme vient de le montrer le hacker finlandais Viljami Kuosmanen.

Ainsi, un formulaire qui ne vous demande que votre nom et votre adresse Web pourrait, une fois le remplissage automatique validé, récupérer aussi toutes les autres données contenues dans votre profil. Par exemple : l’adresse, le numéro de téléphone, le code postal, les données de carte bancaire, etc. Tout dépend de ce que vous avez stocké dans ce profil. Un site malveillant pourrait ainsi vous extirper des informations que nous n’avez pas forcément envie de partager avec lui.   

Pour prouver ses propos, le hacker a mis en ligne une page de démonstration qui n’affiche que deux champs à remplir. Le code sous-jacent, toutefois, tente de récupérer beaucoup d’autres champs d’information qui ne sont pas visibles sur la page. L’expert a enregistré une séquence d’identification sous Chrome tout en visualisant la totalité des données récupérées.  

Cette attaque fonctionne de la même manière avec Safari. Ce n’est pas le cas, en revanche, sur Firefox où le remplissage d’un champ d’information doit être validé un par un par l’utilisateur, ce qui n’est donc pas possible pour les champs invisibles.
L’attaque fonctionne en partie avec l’extension Lastpass, qui possède également une fonction de remplissage automatique. Toutefois, il y a un garde-fou : l’utilisateur est prévenu par une fenêtre d’alerte que la page souhaite accéder aux données de carte bancaire.
Dès lors, pour se protéger, le mieux est encore de désactiver cette fonction de remplissage automatique, quitte à perdre du temps sur les formulaires.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Gilbert KALLENBORN
Les dernières actualités
Youtube
YouTube a peut-être trouvé l’outil IA que vous aurez vraiment envie d’utiliser
Netflix Peur
Netflix ne précisera bientôt plus le nombre d’abonnés
Meta Quest
Meta baisse le prix du Quest 2, encore une fois
Meta Ai Bot 4
Meta lance son bot IA partout : Facebook, Messenger, WhatsApp, Instagram et sur le web
01net Morning
01net morning : test d’un rude concurrent du PlayStation Portal, un site de streaming inquiète Disney+, comment installer l’AltStore sur votre iPhone ?
Dji Power 1000 2
Après les drones, DJI se lance dans les stations électriques portables
Iphone Daisy Recyclage
Recyclage : Apple détruirait des iPhone en état de fonctionner
Google Logo Flou
Google licencie des employés après des manifestations contre le « Projet Nimbus »
Top téléchargements