IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Étude : Les gestionnaires de mots de passe intégrés des navigateurs sont une menace pour la confidentialité


Sujet :

Sécurité

  1. #1
    Expert éminent sénior
    Avatar de Coriolan
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Mai 2016
    Messages
    701
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Sarthe (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mai 2016
    Messages : 701
    Points : 51 811
    Points
    51 811
    Par défaut Étude : Les gestionnaires de mots de passe intégrés des navigateurs sont une menace pour la confidentialité
    Les régies publicitaires exploitent les gestionnaires de mots de passe des navigateurs pour traquer les internautes
    Assure une étude

    Pour gagner du temps lorsque les internautes remplissent des formulaires, certains navigateurs comme Chrome et Firefox proposent la saisie automatique ainsi que des gestionnaires de mots de passe pour stocker les identifiants des utilisateurs. Cette fonctionnalité est pratique certes, mais elle présente un inconvénient aussi pour le respect de la vie privée.

    À vrai dire, les gestionnaires de mots de passe intégrés dans les navigateurs ont été abusés par les régies publicitaires afin de traquer les internautes sur plus d’un millier de sites web. En effet, des chercheurs de l’Université de Princeton ont révélé que des scripts tiers vont jusqu’à exploiter les gestionnaires de mots de passe intégrés dans les navigateurs pour trouver et extraire des identifiants des utilisateurs sans les prévenir. Selon les auteurs de l’étude, c’est la première fois que cette pratique a été mise à la lumière du jour.

    La vulnérabilité qui a rendu possible cette pratique était connue depuis des années. Auparavant, les discussions se sont focalisées sur les attaques de type XSS (cross-site scripting) qui permettent de dérober les mots de passe. Heureusement, les chercheurs qui ont analysé 50 000 sites web n’ont pas trouvé un indice de vol de mots de passe, mais ils ont trouvé plutôt des scripts de tracking qui exploitent la même technique pour extraire les adresses email et constituer un profil comportemental des internautes par la suite.

    Nom : Autofill-blog-post2-768x500.png
Affichages : 13446
Taille : 107,3 Ko

    L’image en haut indique comment cette méthode fonctionne. Premièrement, l’utilisateur entre les informations dans la zone de remplissage sur une page web quelconque et demande au navigateur d’enregistrer les données. Le script marketing n’est pas présent sur la page d’identification. Ensuite, l’utilisateur visite une autre page du même site qui inclut cette fois le script en question. Ce dernier se charge d’insérer une zone de remplissage invisible à l’utilisateur qui est remplie automatiquement par le navigateur. Après, le script tiers capte l’identifiant (souvent une adresse email), génère une empreinte mathématique puis l’envoie vers les serveurs tiers. Les chercheurs ont trouvé que 1110 sites faisant partie du top 1 million de sites web du classement Alexa utilisent deux scripts qui ont recours à cette méthode. Il faut noter que cette vulnérabilité ne concerne que les gestionnaires de mots de passe intégrés des navigateurs et non pas les tiers. En effet, ces derniers requièrent presque toujours une action de l'utilisateur pour remplir les formulaires.

    Pourquoi collecter une empreinte mathématique des adresses email ?

    Les adresses email sont uniques et persistantes, c’est pourquoi une empreinte mathématique (hash : une empreinte qui sert à identifier rapidement) constitue un moyen performant pour traquer un utilisateur et établir un profil comportemental. Un internaute change rarement d’adresse email, le fait de supprimer les cookies, utiliser la navigation privée ou encore changer d'appareils ne va pas empêcher le tracking. L’empreinte mathématique (hachage MD5, SHA1, SHA256) d’une adresse email peut être utilisée pour connecter plusieurs informations tirées de plusieurs navigateurs, appareils et applications mobiles pour constituer au final un profil de l’utilisateur basé sur les habitudes de navigation.

    Vous l’aurez compris donc, récupérer l'empreinte de l’identifiant va permettre un suivi précis des utilisateurs sur chaque site incorporant le même script. Et le comble est que cette méthode de hashage des emails ne garantit pas l’anonymat des utilisateurs. Il est tout à fait possible de hasher une adresse email de l’utilisateur et d’effectuer une recherche pour trouver les données, comme l’expliquent les chercheurs.

    L’étude s’est focalisée sur deux scripts en particulier Adthink et OnAudience. Ces deux scripts sont intégrés directement par les administrateurs des sites et ne sont donc pas considérés comme tiers par les navigateurs. Selon le principe de séparation des origines (Same Origin Policy), le navigateur doit faire confiance à un script inséré directement dans le site web, or les scripts de tracking intégrés ici sont tiers et compromettent la confidentialité et potentiellement la sécurité des utilisateurs.

    Mais comment en est-on arrivé là ? Comment une vulnérabilité fait-elle toujours l’actualité après onze ans de discussions ? La réponse est simple, d’un point de vue des navigateurs, il n’y a pas de faille de sécurité, seulement une mauvaise pratique. Pour mieux expliquer, il faut comprendre que le principe de séparation des origines stipule que tout script ou contenu qui a pour source différentes origines est traité comme non sûr, à partir de là, le navigateur les isole pour éviter toute interférence. Cependant, si le concepteur du site web intègre directement un script tiers au lieu de l’isoler dans une iframe, le script est considéré comme un élément intégral du site web visité puisque le code est directement présent dans les pages. « Au final, le concepteur (et les utilisateurs) n’ont plus droit aux protections et rien n’empêche le script d’extraire des informations sensibles. » Malheureusement, cette pratique n’a rien de nouveau et elle est très utilisée par les concepteurs de sites web. Toutefois, son exploitation pour extraire des identifiants est assez récente.

    Cette pratique constitue également un dilemme pour les navigateurs, doivent-ils chercher des solutions et incorporer de nouveaux mécanismes de protection, ou bien il faudra blâmer les concepteurs de sites web qui intègrent des scripts tiers ? On trouve de bons arguments pour les deux points de vue. Actuellement, les éditeurs de navigateur continuent de choisir la deuxième option, considérant ce problème comme la faute des concepteurs de sites web. En intégrant directement un script tiers, le navigateur le considère automatiquement comme étant sûr.

    Sur les 1110 sites épinglés figurent 187 sites français, les chercheurs ont publié la liste de tous les sites concernés. Pour se protéger, les utilisateurs peuvent recourir à des bloqueurs de scripts tiers. Firefox permet aussi de désactiver le remplissage automatique, ce qui n’est pas le cas des autres navigateurs. Pour les webmasters, une solution simple consiste à insérer les formulaires d’authentification dans des sous-domaines séparés, ce qui empêche le remplissage automatique dans les autres pages.

    Source : Freedom to tinker

    Et vous ?

    Pensez-vous que les navigateurs doivent bloquer ces scripts ?
    Ou bien c'est de la faute des webmasters ?

    Voir aussi :

    Vulnérabilités Meltdown et Spectre : état des lieux des navigateurs, Chrome, Mozilla et Edge face au vecteur d'exploitation JavaScript
    Quelles sont les cybermenaces qu'il faut le plus surveiller en 2018 ? Le MIT Technology Review nous donne ses prédictions

  2. #2
    Invité
    Invité(e)
    Par défaut
    Incroyable faille en effet...
    Solution : ne plus utiliser les gestionnaires de mots de passe des navigateurs. Transférer les données vers un logiciel externe.
    Cela signifie que n'importe quel site web piraté peut utiliser cette technique.
    Les navigateurs pourraient aussi donner la possibilité de "révéler" les formulaires cachés...
    C'est très grave.

  3. #3
    Membre chevronné

    Homme Profil pro
    Ingénieur Hospitalier
    Inscrit en
    Juillet 2004
    Messages
    993
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur Hospitalier
    Secteur : Santé

    Informations forums :
    Inscription : Juillet 2004
    Messages : 993
    Points : 1 768
    Points
    1 768
    Billets dans le blog
    1
    Par défaut
    Autre solution plus radicale, ça inclus d'avoir un minimum d'éthique et ne pas installer se type de script sur vos sites "publisher" (principales sources de revenue des sites a fort trafic) les sociétés de monétisation digitales en sont les principaux responsables. Le Système se présente sous cette forme : Publisher (propriétaire de site a fort traffic), Advertiser ( Grand Marques en quête d'estomac ), et les SMD créer les scripts Js en vue d'aspirer un maximum d'information. N'oublions pas qu'a ce jeux google et facebook et les twitter et réseau sociaux en tout genre sont les principaux tracker de la planète.

  4. #4
    Inactif  
    Homme Profil pro
    Architecte matériel
    Inscrit en
    Décembre 2017
    Messages
    155
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Seine Maritime (Haute Normandie)

    Informations professionnelles :
    Activité : Architecte matériel

    Informations forums :
    Inscription : Décembre 2017
    Messages : 155
    Points : 0
    Points
    0
    Par défaut
    Citation Envoyé par headmax Voir le message
    Autre solution plus radicale, ça inclus d'avoir un minimum d'éthique et ne pas installer se type de script sur vos sites "publisher" (...)
    Voilà, les scripts ne se sont pas déposés tous seuls dans la page. Quelqu'un a décidé de les mettre.

  5. #5
    Inactif  
    Homme Profil pro
    Architecte matériel
    Inscrit en
    Décembre 2017
    Messages
    155
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Seine Maritime (Haute Normandie)

    Informations professionnelles :
    Activité : Architecte matériel

    Informations forums :
    Inscription : Décembre 2017
    Messages : 155
    Points : 0
    Points
    0
    Par défaut
    Citation Envoyé par Coriolan Voir le message
    Les régies publicitaires exploitent les gestionnaires de mots de passe des navigateurs pour traquer les internautes
    Vrai titre : des webmestre ont donné le contrôle de leur site à des tiers.

    Titre alternatif : des régies auraient trahi la confiance aveugle et stupide des webmestres.

    Citation Envoyé par Coriolan Voir le message
    La vulnérabilité qui a rendu possible cette pratique était connue depuis des années.
    Il n'y a pas de vulnérabilité, sauf si on compte la mentalité des webmestres.

    Citation Envoyé par Coriolan Voir le message
    Heureusement, les chercheurs qui ont analysé 50 000 sites web n’ont pas trouvé un indice de vol de mots de passe,
    Dès lors qu'on offre son domaine Web à une régie en donnant le contrôle à des scripts écrits pas on ne sait qui et faisant on ne sait quoi, le "vol" des mdp est possible.

    Citation Envoyé par Coriolan Voir le message
    Le script marketing n’est pas présent sur la page d’identification.
    Le Web n'a pas la "page" dans son modèle de sécurité, il a l'origine : domaine + port. La page n'est pas protégée, le domaine l'est.

    Vouloir avoir des pages soi-disant sûres et d'autres non sûres dans un même domaine est une absurdité.

    Citation Envoyé par Coriolan Voir le message
    encore changer d'appareils ne va pas empêcher le tracking.
    Seulement si il utilise les mêmes login enregistrés sur cet autre appareil.

  6. #6
    Membre chevronné

    Homme Profil pro
    Ingénieur Hospitalier
    Inscrit en
    Juillet 2004
    Messages
    993
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur Hospitalier
    Secteur : Santé

    Informations forums :
    Inscription : Juillet 2004
    Messages : 993
    Points : 1 768
    Points
    1 768
    Billets dans le blog
    1
    Par défaut
    J'ai pourtant expliqué un processus parmi tant d'autres, tu as un site bidon ou pas mais l'intérêt premier c'est le flux combien de visite par jours, les SMD ( société de monétisation digitale ) beaucoup de société a recours a leur script JS (script tiers qu'on remarque par le fait qu'il n'appartient pas au même domaine) c'est script peux récupérer les données de tes cookies en gros se fou du "publisher" qui lui fait confiance a ces SMD mais c'est un abus car le "publisher" n'a pas forcément conscience de ces pratiques sa seul motivation faire du blé car la pub le paye en retour si une personne clic sur un lien publicitaire et peu gagner plus si ce clique se solde par un achat.

  7. #7
    Inactif  
    Homme Profil pro
    Architecte matériel
    Inscrit en
    Décembre 2017
    Messages
    155
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Seine Maritime (Haute Normandie)

    Informations professionnelles :
    Activité : Architecte matériel

    Informations forums :
    Inscription : Décembre 2017
    Messages : 155
    Points : 0
    Points
    0
    Par défaut
    Quel est l'intérêt d'exfiltrer les "cookies", dans ce cas?

    Quel cookie est d'intérêt pour la "SMD"?

  8. #8
    Membre chevronné

    Homme Profil pro
    Ingénieur Hospitalier
    Inscrit en
    Juillet 2004
    Messages
    993
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur Hospitalier
    Secteur : Santé

    Informations forums :
    Inscription : Juillet 2004
    Messages : 993
    Points : 1 768
    Points
    1 768
    Billets dans le blog
    1
    Par défaut
    Il ne s'agit pas seulement de cookies, les "sessionStorage" https://developer.mozilla.org/fr/doc...sessionStorage, les "localstorage" https://developer.mozilla.org/fr/doc...w/localStorage, les extensions installés sur le navigateur, les footprints https://gist.github.com/coreyti/1353...5ae46c2d40c665 (sont des js dont le but et de reconnaitre, l'utilisateur (à 100%) génération d'un id unique comprenant une signature basé sur les informations du navigateur) avec les failles type canvas et tailles des navigateurs, Web RTC , ...
    Pour faire brefs, il y en a tellement d'autres ...

  9. #9
    Inactif  
    Homme Profil pro
    Architecte matériel
    Inscrit en
    Décembre 2017
    Messages
    155
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Seine Maritime (Haute Normandie)

    Informations professionnelles :
    Activité : Architecte matériel

    Informations forums :
    Inscription : Décembre 2017
    Messages : 155
    Points : 0
    Points
    0
    Par défaut
    Citation Envoyé par jpiotrowski Voir le message
    Incroyable faille en effet...
    Incroyable qu'un site puisse transférer des données à des tiers?!!!

    Citation Envoyé par jpiotrowski Voir le message
    Cela signifie que n'importe quel site web piraté peut utiliser cette technique.
    Par principe si un site est piraté, ton mdp sur ce site peut être piraté.

    Quel est le souci?

    Citation Envoyé par jpiotrowski Voir le message
    Solution : ne plus utiliser les gestionnaires de mots de passe des navigateurs. Transférer les données vers un logiciel externe.
    Et en quoi cela va aider si un site est piraté?


    Citation Envoyé par jpiotrowski Voir le message
    Les navigateurs pourraient aussi donner la possibilité de "révéler" les formulaires cachés...
    Déjà, qu'est-ce qu'un formulaire "caché"?

    Citation Envoyé par jpiotrowski Voir le message
    C'est très grave.
    Que les webmestres traitent les sites comme de véritables dépotoirs de pub et de sites de tracking?

    Oui!

  10. #10
    Inactif  
    Homme Profil pro
    Architecte matériel
    Inscrit en
    Décembre 2017
    Messages
    155
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Seine Maritime (Haute Normandie)

    Informations professionnelles :
    Activité : Architecte matériel

    Informations forums :
    Inscription : Décembre 2017
    Messages : 155
    Points : 0
    Points
    0
    Par défaut
    Citation Envoyé par headmax Voir le message
    Il ne s'agit pas seulement de cookies, les "sessionStorage" https://developer.mozilla.org/fr/doc...sessionStorage, les "localstorage" https://developer.mozilla.org/fr/doc...w/localStorage,
    Quel est le souci?

    Quel navigateur ne permet pas facilement de les vider?

    Citation Envoyé par headmax Voir le message
    les extensions installés sur le navigateur,
    Une extension de navigateur a la confiance de l'utilisateur en principe. Sinon pourquoi l'installer?

    Citation Envoyé par headmax Voir le message
    les footprints https://gist.github.com/coreyti/1353...5ae46c2d40c665 (sont des js dont le but et de reconnaitre, l'utilisateur (à 100%) génération d'un id unique comprenant une signature basé sur les informations du navigateur) avec les failles type canvas et tailles des navigateurs, Web RTC ...
    C'est plus vicieux.

    Mais cela n'identifie PAS un utilisateur.

  11. #11
    Membre chevronné

    Homme Profil pro
    Ingénieur Hospitalier
    Inscrit en
    Juillet 2004
    Messages
    993
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur Hospitalier
    Secteur : Santé

    Informations forums :
    Inscription : Juillet 2004
    Messages : 993
    Points : 1 768
    Points
    1 768
    Billets dans le blog
    1
    Par défaut
    liberal??? tu fait dans la novlangue? car moi je suis plutôt dans l'action, que dans la rhétorique.

  12. #12
    Inactif  
    Homme Profil pro
    Architecte matériel
    Inscrit en
    Décembre 2017
    Messages
    155
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Seine Maritime (Haute Normandie)

    Informations professionnelles :
    Activité : Architecte matériel

    Informations forums :
    Inscription : Décembre 2017
    Messages : 155
    Points : 0
    Points
    0
    Par défaut
    Pardon?

Discussions similaires

  1. Réponses: 10
    Dernier message: 13/01/2018, 07h55
  2. [Batch] Comment supprimer tous les mots de passe des navigateurs
    Par Speed41 dans le forum Scripts/Batch
    Réponses: 5
    Dernier message: 27/01/2017, 12h34
  3. Réponses: 3
    Dernier message: 18/12/2013, 12h18
  4. Réponses: 4
    Dernier message: 03/05/2007, 12h28
  5. Réponses: 2
    Dernier message: 21/03/2007, 17h26

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo