Il y a quelques choses que vous entendrez dans chaque conversation sur la sécurité Internet; Un des premiers serait d'utiliser un gestionnaire de mots de passe. Je l'ai dit, la plupart de mes collègues l'ont dit et il est probable que vous l'ayez dit tout en aidant quelqu'un d'autre à trouver des moyens de protéger ses données. C'est toujours un bon conseil, mais une étude récente du Center for Information Technology Policy de l'Université de Princeton a révélé que le gestionnaire de mots de passe de votre navigateur Web que vous pourriez utiliser pour garder vos informations confidentielles aide également les agences de publicité à vous suivre sur le Web.
C'est un scénario effrayant de tous les côtés, principalement parce que ce ne sera pas facile à résoudre. Ce qui se passe, ce n'est pas le vol d'informations d'identification - une agence de publicité ne veut pas de votre nom d'utilisateur et de votre mot de passe - mais le comportement utilisé par le gestionnaire de mots de passe est exploité de manière très simple. Une agence de publicité place un script sur une page (deux appelées par leur nom, AdThink et OnAudience), servant de formulaire de connexion. Ce n'est pas un vrai formulaire de connexion, car il ne vous connectera à aucun service, c'est "juste" un script de connexion.
Lorsque votre gestionnaire de mots de passe voit un formulaire de connexion, il entre un nom d'utilisateur. Les navigateurs testés étaient: Firefox, Chrome, Internet Explorer, Edge et Safari. Par exemple, Chrome ne saisira pas le mot de passe tant que l'utilisateur n'aura pas interagi avec le formulaire, mais il entrera automatiquement un nom d'utilisateur. C'est bien parce que c'est tout ce que le script veut ou a besoin. Les autres navigateurs se sont comportés de la même manière, comme prévu.
Une fois votre nom d'utilisateur entré, votre identifiant de navigateur et celui de votre navigateur sont divisés en un identifiant unique. Vous n'avez pas besoin de sauvegarder quoi que ce soit sur votre ordinateur ou votre téléphone. La prochaine fois que vous visiterez un site utilisant la même agence de publicité, vous obtiendrez un autre script faisant office de formulaire de connexion et votre nom d'utilisateur sera à nouveau saisi. Les données sont comparées à ce qui est dans le fichier. Un identifiant unique vous a été attribué et peut être utilisé (et est utilisé) pour vous suivre sur le Web. Et cela fonctionne parce que cela est attendu et un comportement "de confiance". Outre une feuille de route de vos habitudes Internet, les données associées à cet UUID incluent également les plug-ins de navigateur, les types MIME, les dimensions de l'écran, la langue, les informations de fuseau horaire, la chaîne de l'agent utilisateur, le système d'exploitation et le processeur.
L'ensemble des heuristiques utilisées pour déterminer les formulaires de connexion à remplir automatiquement varie selon le navigateur, mais l'exigence de base est qu'un champ de nom d'utilisateur et de mot de passe soit disponible.
Cela fonctionne à cause de ce que l'on appelle la politique de même origine. Lorsque le contenu de deux sources différentes est présenté, il ne faut pas y faire confiance, mais une fois qu'une source est approuvée, tout le contenu de la session en cours l'est également (confiance dans ce sens signifie que vous visualisez ou interagissez avec le contenu de manière ciblée). Vous avez dirigé votre navigateur vers une page Web et interagi avec un formulaire de connexion sur cette page, de sorte que tout est traité comme étant de confiance lorsque vous êtes sur la page. Dans ce cas, cependant, le script a été intégré à une page, mais provient en fait d'une source différente et ne doit pas être approuvé tant que vous n'avez pas cliqué sur le bouton ou interagi de manière à montrer que vous avez l'intention de vous y trouver.
Si les éléments de page incriminés étaient incorporés dans une iframe ou une autre méthode correspondant à la source et à la destination des données, l'automatisme de cet exploit (et, oui, je l'appellerai un exploit) ne fonctionnerait pas.
Liste de sites connus intégrant des scripts abusant du gestionnaire de connexion pour le suivi
Il y a de très bonnes chances que les éditeurs Web utilisant des services de publicité exploitant ce problème n'aient aucune idée de ce qui arrive à leurs utilisateurs. Bien que cela ne les exempte pas de toute responsabilité, c'est finalement leur produit qui est utilisé pour collecter des données d'utilisateurs à leur insu, et cela devrait rendre chaque administrateur de site concerné (et éventuellement très en colère). En tant qu'utilisateur, nous ne pouvons rien faire d'autre que de suivre les mêmes pratiques de navigation "incognito" utilisées lorsque nous souhaitons rester un peu plus privées sur le Web. Cela signifie bloquer tous les scripts, toutes les annonces, ne sauvegarder aucune donnée, ne pas accepter de cookies et traiter chaque session Web comme son propre bac à sable.
La seule vraie solution consiste à changer la façon dont les gestionnaires de mots de passe fonctionnent via le navigateur - à la fois des outils intégrés et des extensions ou d'autres plugins. Arvind Narayanan, l'un des professeurs qui ont travaillé sur le projet, le dit succinctement:
Ce ne sera pas facile à réparer, mais ça vaut le coup
Google, Microsoft, Apple et Mozilla ont tous façonné le Web et sont capables de changer les choses pour faire face aux nouveaux problèmes. Espérons que cela figure dans la liste restreinte des changements.
