IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

L’outil de saisie automatique des formulaires de Chrome peut être utilisé pour envoyer des données


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Webmaster
    Inscrit en
    janvier 2014
    Messages
    1 038
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Webmaster
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2014
    Messages : 1 038
    Points : 25 317
    Points
    25 317
    Par défaut L’outil de saisie automatique des formulaires de Chrome peut être utilisé pour envoyer des données
    L’outil de saisie automatique des formulaires de Chrome peut être utilisé pour envoyer des données,
    à l’insu de l’utilisateur en utilisant des champs cachés

    Lorsque vous naviguez sur la toile et que vous devez à chaque fois remplir un formulaire, l’un des moyens les plus rapides de la faire est d’utiliser les outils de remplissage automatique des formulaires. Plusieurs outils possèdent ces fonctionnalités qui peuvent être ajoutées aux navigateurs en tant qu’extension ou utilisées directement à partir des navigateurs.

    Dans Google Chrome, vous pouvez l’activer en cliquant sur les trois boutons situés tout à fait à droite de la barre d’adresse du navigateur, puis dans le menu qui s’affiche vous cliquez sur « Paramètres » et enfin sur « Paramètres de synchronisation ». Dans le menu qui s’affiche à nouveau, vous cochez la case « Saisie automatique » si vous souhaitez remplir les formulaires automatiquement.

    Cela est très pratique dans la mesure où l’utilisateur n’a pas besoin de remplir manuellement chaque formulaire qu’il rencontre. Le navigateur s’en charge directement en sauvegardant les données de l’utilisateur et en remplissant les champs que l’utilisateur souhaite remplir à partir des données préalablement enregistrées.

    Toutefois, il se trouve que cette fonctionnalité assez appréciée par plusieurs pose un problème de sécurité sur Chrome, car une personne malveillante pourrait récupérer des données personnelles de l’utilisateur sans son consentement. En effet, en principe avec cette fonctionnalité, le navigateur se charge de remplir automatiquement les champs des formulaires et vous ne faites que cliquer sur le bouton d’envoi. Cependant, des personnes mal intentionnées pourraient intégrer dans leur page web des champs de formulaire cachés qui ne seraient pas visibles par l’utilisateur, mais reconnus par le navigateur comme des éléments à remplir.

    Aussi, en utilisant la fonctionnalité Autofill de Chrome pour remplir les champs visibles, le navigateur remplira par la même occasion les champs cachés dans le code source de la page web. Dans ce cas en envoyant les données du formulaire, l’utilisateur enverrait également d’autres données sans le savoir et que le tiers malveillant récupérera pour ses activités illicites.

    Pour mieux comprendre comment cela se passe de manière pratique, vous pouvez jeter un coup d’œil à la démonstration ci-dessous.

    Nom : Chrome-autofill-demo.gif
Affichages : 18390
Taille : 383,4 Ko

    Pour ceux qui souhaitent également effectuer des tests pour mieux apprécier le problème de sécurité, vous pouvez utiliser ce lien qui vous permettra de voir que derrière les deux champs visibles de la page se trouvent plusieurs autres éléments à remplir qui n’ont pas été ajoutés sur la page web, mais qui sont contenus dans le code source.

    Il faut souligner que cette faille a depuis longtemps été portée à la connaissance du public, mais apparemment elle existe toujours et est susceptible d’être utilisée par les personnes peu recommandables. D’autres navigateurs ont trouvé des solutions pour contourner le problème. Dans Safari par exemple, en utilisant la fonctionnalité de saisie automatique, le navigateur vous renvoie toutes les informations sur les données que vous vous apprêtez à transmettre, qu’elles soient visibles par l’utilisateur ou non. Et pour ce qui concerne Firefox, vous devez faire un clic droit dans chaque champ afin de sélectionner l’identité que vous souhaitez utiliser afin que le navigateur remplisse automatiquement chaque champ.

    En attendant que l’équipe de Chrome trouve un meilleur moyen de gérer les données saisies automatiquement par son outil, certains recommandent de le désactiver pour éviter le risque de transmettre certaines données à des tiers malveillants sans le savoir. Pour désactiver cette fonctionnalité dans Chrome, il suffit de suivre le même processus que pour l’activation et de décocher la saisie automatique au lieu de la cocher.

    Source : GitHub, Chromium, Yoast

    Et vous ?

    Que pensez-vous de cette faille ?

    Est-elle assez sérieuse pour abandonner l’outil autofill de Chrome ?

    Voir aussi

    Chrome 51 : Google corrige quinze failles de sécurité, dont deux jugées critiques t a encore versé 26 000 $ à des chercheurs en sécurité

    Google améliore la sécurité de Chrome, le navigateur affichera désormais une alerte face aux sites malveillants

    La Rubrique Développement web, Forum Chrome, Cours et tutoriels web, FAQ web
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Candidat au Club
    Homme Profil pro
    Chef de projet
    Inscrit en
    octobre 2005
    Messages
    2
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Chef de projet

    Informations forums :
    Inscription : octobre 2005
    Messages : 2
    Points : 3
    Points
    3
    Par défaut
    C'est assez impressionnant de voir qu'un navigateur tel que Chrome laisse fuiter aussi simplement des informations via une option proposée en natif et activée par défaut.
    Le mécanisme est tellement évident que je ne comprend pas pourquoi Google ne l'a pas vu lors du développement et qu'en plus ils ne réagissent pas.
    A ce niveau, on ne peut pas vraiment parler de faille de sécurité mais plus de négligence de la part de Google.

  3. #3
    Invité
    Invité(e)
    Par défaut
    @Fhamtaom entièrement d'accord, surtout que ce problème peut être corrigé en moins de 5 min

  4. #4
    Membre expert
    Avatar de Doksuri
    Profil pro
    Développeur Web
    Inscrit en
    juin 2006
    Messages
    2 148
    Détails du profil
    Informations personnelles :
    Âge : 51
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : juin 2006
    Messages : 2 148
    Points : 3 847
    Points
    3 847
    Par défaut
    Je suis du meme avis que Fhamtaom, je ne pense pas qu'il s'agisse d'une faille.

    Si je ne me trompe pas, chrome stock les donnees en fonction des noms des inputs. et comme 99% des noms sont les memes (c'est plus facile en tant que dev d'avoir name="email" plutot que name="input_12345")
    Du coup, si le site A demande input name="phone" et qu'on le renseigne, le site B qui a ce meme input name="phone" hidden se retrouve avec la data renseignee.

    Et comme toute fonctionalite, ca peut etre mal utilise.
    La forme des pyramides prouve que l'Homme a toujours tendance a en faire de moins en moins.

    Venez discuter sur le Chat de Développez !

  5. #5
    Membre du Club
    Femme Profil pro
    Inscrit en
    avril 2011
    Messages
    62
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : France, Somme (Picardie)

    Informations forums :
    Inscription : avril 2011
    Messages : 62
    Points : 61
    Points
    61
    Par défaut
    ça parait impressionnant de simplitude mais ça ne m'étonne pas.

    Je trouve normal qu'un produit américain laisse des failles dans un produit mondialement populaire et gratuit.
    ça aide la CIA/NSA/FBI surement ....
    C'est gratuit, donc personne ne peut porter plainte car on coche tous la case des CGU (sans les lires) quand on l'installe...

  6. #6
    Invité
    Invité(e)
    Par défaut
    Lisez donc ce livre, vous verrez que le principe d'affaiblissement de la robustesse d'un logiciel est un principe assez ancien promu par la NSA pour lui faciliter le travail :
    https://www.tallandier.com/livre-9791021008632.htm

  7. #7
    Futur Membre du Club
    Homme Profil pro
    Inscrit en
    avril 2012
    Messages
    2
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations forums :
    Inscription : avril 2012
    Messages : 2
    Points : 5
    Points
    5
    Par défaut Je croyais avoir contourné le problème
    Les données enregistrées pour les formulaires n'apparaissaient pas tant que je n'avais pas cliqué dans l'un des champs d'un formulaire. Cependant, dans le menu des paramètres, la case de remplissage automatique des formulaires était cochée. Il me semblait avoir sélectionné une option pour que le remplissage effectif exige l'étape supplémentaire de cliquer dans un des champs d'un formulaire, mais je ne l'ai pas retrouvée.

  8. #8
    Membre confirmé
    Homme Profil pro
    Webdesigner
    Inscrit en
    juin 2014
    Messages
    328
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 61
    Localisation : France, Hautes Pyrénées (Midi Pyrénées)

    Informations professionnelles :
    Activité : Webdesigner
    Secteur : Associations - ONG

    Informations forums :
    Inscription : juin 2014
    Messages : 328
    Points : 625
    Points
    625
    Par défaut
    vous pouvez utiliser ce lien qui vous permettra de voir que derrière les deux champs visibles...
    ... et pour envoyer un certain nombre d'informations à ce site dont on ne sait pas ce qu'il en fait ensuite !

  9. #9
    Nouveau Candidat au Club
    Homme Profil pro
    Développeur informatique
    Inscrit en
    janvier 2017
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Seine Saint Denis (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : janvier 2017
    Messages : 1
    Points : 1
    Points
    1
    Par défaut Appli cool
    J'ai découvert cette semaine Pikcio une appli française qui permet de récolter ses data et de les enregistrer seulement en local, ils n'utilisent pas de serveurs. Je vais tester la Beta!

  10. #10
    Membre confirmé
    Homme Profil pro
    Webdesigner
    Inscrit en
    juin 2014
    Messages
    328
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 61
    Localisation : France, Hautes Pyrénées (Midi Pyrénées)

    Informations professionnelles :
    Activité : Webdesigner
    Secteur : Associations - ONG

    Informations forums :
    Inscription : juin 2014
    Messages : 328
    Points : 625
    Points
    625
    Par défaut
    Citation Envoyé par tontonCD Voir le message
    Pourquoi Chrome ? Je suis sous Firefox et le lien fonctionne tout autant !
    Bien sûr que le lien fonctionne. Mais Firefox ne pré-remplit pas les champs sans un minimum d'interaction avec l'utilisateur.. Donc n'envoie pas d'infos sur la personne via des champs dissimulés.

  11. #11
    Membre régulier
    Homme Profil pro
    Consultant informatique
    Inscrit en
    février 2014
    Messages
    54
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Consultant informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : février 2014
    Messages : 54
    Points : 120
    Points
    120
    Par défaut
    C'est exact, sous FF il faut avoir rempli les champs pour que le contenu apparaisse

  12. #12
    Membre expert
    Avatar de Doksuri
    Profil pro
    Développeur Web
    Inscrit en
    juin 2006
    Messages
    2 148
    Détails du profil
    Informations personnelles :
    Âge : 51
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : juin 2006
    Messages : 2 148
    Points : 3 847
    Points
    3 847
    Par défaut
    Citation Envoyé par domi65 Voir le message
    Mais Firefox ne pré-remplit pas les champs sans un minimum d'interaction avec l'utilisateur..
    Chrome non plus (et aucun autre navigateur je pense)

    Arretez de psychoter ... vous activez la fonction de saisie automatique, vous entrez des donnees dans des formulaires ... c'est "normal" que le navigateur replisse le maximum avec les donnees que vous lui avez fournis.

    [coup2gueule]
    Ca y est, quelqu'un a decouvert le F12, et maintenant c'est la fete du slip ?

    Responsabilisez-vous un peut aussi. Arretez de faire une confiance aveugle dans tous les outils qu'on vous fournis.
    [/coup2gueule]
    La forme des pyramides prouve que l'Homme a toujours tendance a en faire de moins en moins.

    Venez discuter sur le Chat de Développez !

  13. #13
    Membre confirmé
    Homme Profil pro
    Webdesigner
    Inscrit en
    juin 2014
    Messages
    328
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 61
    Localisation : France, Hautes Pyrénées (Midi Pyrénées)

    Informations professionnelles :
    Activité : Webdesigner
    Secteur : Associations - ONG

    Informations forums :
    Inscription : juin 2014
    Messages : 328
    Points : 625
    Points
    625
    Par défaut
    Citation Envoyé par Doksuri Voir le message
    Arretez de psychoter ... vous activez la fonction de saisie automatique, vous entrez des donnees dans des formulaires ... c'est "normal" que le navigateur replisse le maximum avec les donnees que vous lui avez fournis.
    Je ne psychose pas. Je suis parfaitement calme. J'explique juste un détail technique. Je n'ai émis aucun jugement, contrairement à toi sur ma santé mentale.

  14. #14
    Membre expert
    Avatar de Doksuri
    Profil pro
    Développeur Web
    Inscrit en
    juin 2006
    Messages
    2 148
    Détails du profil
    Informations personnelles :
    Âge : 51
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : juin 2006
    Messages : 2 148
    Points : 3 847
    Points
    3 847
    Par défaut
    Ma 1ere phrase repondait a ta citation.
    Sinon, c'etait un "vous" general, pas une attaque personnelle
    La forme des pyramides prouve que l'Homme a toujours tendance a en faire de moins en moins.

    Venez discuter sur le Chat de Développez !

Discussions similaires

  1. [AC-2007] Problème saisie automatique sur formulaire
    Par laminekane dans le forum Access
    Réponses: 8
    Dernier message: 24/03/2016, 23h16
  2. liens pour créer des formulaires conviviaux
    Par celiaaa dans le forum IHM
    Réponses: 5
    Dernier message: 14/02/2007, 14h46
  3. Réponses: 1
    Dernier message: 11/10/2006, 15h24
  4. [MySQL] Classe pour développer des formulaire et gérer la BdD ?
    Par sami_c dans le forum PHP & Base de données
    Réponses: 2
    Dernier message: 23/11/2005, 12h29
  5. Delphi 2005 pour manipuler des formulaires MS-Access ??
    Par Mustard007 dans le forum Bases de données
    Réponses: 4
    Dernier message: 18/10/2005, 22h39

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo