Des recherches publiées ces derniers jours montrent comment des outils de gestion des mots de passe dans les navigateurs sont exploités pour le suivi du Web. Les scripts suivent généralement les noms d’utilisateur, mais pourraient être adaptés pour extraire les mots de passe selon les chercheurs. Ce sont les experts en confidentialité de Princeton qui sont à l’origine des recherches.
Ils avertissent les internautes que les entreprises de publicité et d’analyse peuvent secrètement extraire les noms d’utilisateur des navigateurs en utilisant des champs de connexion cachés. Ils sont même aptes à lier les utilisateurs non authentifiés visitant un site avec leurs profils ou des e-mails sur ce domaine.
Ce type de comportement abusif est possible en raison d’un défaut de conception des gestionnaires de connexion inclus dans tous les navigateurs.
Pourquoi « voler » des données de connexion ?
Presque tous les navigateurs sont désormais dotés d’un outil de gestion de mot de passe. Selon une nouvelle étude du Centre for Information Technology Policy de Princeton, ces mêmes gestionnaires sont exploités comme un moyen de suivre les utilisateurs d’un site à l’autre. Dans le cadre de leurs recherches, les chercheurs ont examiné deux scripts différents : AdThink et OnAudience.
Tous deux sont conçus pour obtenir des informations identifiables sur les gestionnaires de mots de passe basés sur un navigateur. Ces informations peuvent ensuite être utilisées en tant qu’ID permanent pour suivre les utilisateurs de page en page. C’est donc un outil potentiellement précieux pour cibler la publicité. Le vol de données de connexion utilisateur améliore ainsi les profils de tracking des annonces.
Comment éviter le tracking via gestionnaire de mot de passe ?
Les plugins se concentrent généralement sur les noms d’utilisateur. Les chercheurs affirment cependant qu’il n’existe pas de mesure technique pour empêcher les scripts de collecter des mots de passe de la même manière. Dans ce cas, des précautions sécurité de la part des utilisateurs seraient inutiles.
La seule solution à ce problème consisterait à modifier le fonctionnement des gestionnaires de mots de passe. Cela nécessiterait cependant une approbation plus explicite des utilisateurs avant de soumettre des informations et une modification de fond en comble du fonctionnement des navigateurs web.
Ce nouveau système de tracking démontre, une fois de plus, que la sécurité des données personnelles n’est pas encore à la hauteur des défis.