Le confort des gestionnaires d’identifiants et de mots de passe, c’est bien, mais gare aux scripts exploitant ce manque de sécurité et qui aspirent vos coordonnées à votre insu, à des fins publicitaires.
Lorsqu’un internaute se connecte sur un site avec son compte personnel, il doit naturellement faire usage d’un identifiant et d’un mot de passe. Pour des raisons de confort, la plupart d’entre nous faisons usage de la fonction mémoire de nos gestionnaires de mots de passe, généralement intégrée à tous les navigateurs et permettant une saisie automatique du couple identifiant/mot de passe.
Exploitation des gestionnaires de mots de passe à des fins marketing
Cela comporte un risque, que Steven Englehardt, Arvind Narayan et Gunes Acar, chercheurs à l’université de Princeton, mettent en évidence. Le confort c’est bien, mais hélas cette manière de procéder peut permettre à des sociétés marketing d’aspirer vos données, de mieux vous cibler et de vous intégrer en base, à des fins publicitaires.
Si un des sites visités intègre un script marketing, spécialement conçu pour aspirer vos identifiants, celui-ci génère automatiquement un document invisible que votre navigateur remplit à votre insu. Identifiants et adresse mail se retrouvent hachés par le script, qui ni vu ni connu vous intègre sur la liste de sociétés marketing.
Usage abusif ou faille de sécurité ?
Ce procédé marketing, tout comme les capacités mémoire des gestionnaires de mot de passe, n’est pas récent. Le principe de ces scripts frauduleux reste le même : réunir une première info, puis grâce à elle une seconde, etc… le but étant de vous cibler au mieux en tant que consommateur potentiel.
Le script vérifie votre présence ou non en base de donnée : « Pour savoir si un utilisateur se trouve dans le set de données, il suffit de hacher l’adresse email de l’utilisateur et d’effectuer une recherche » expliquent les chercheurs.
Les éditeurs n’en sont pas toujours responsables, mais bien souvent ne prennent pas la peine de vérifier la nature des scripts de leurs partenaires marketing. Cette technique n’est donc pas une faille réelle de sécurité, mais plutôt l’exploitation abusive d’un manque de précautions et de paramétrages des gestionnaires automatiques.
Source: BeGeek
IxItab Blog 