Les gestionnaires de mots de passe, outils de tracking publicitaire

Les gestionnaires de mots de passe des navigateurs sont affectés d’une vulnérabilité connue depuis une décennie. Et outre des exploitations malveillantes, des chercheurs ont découvert que certains sites les utilisent à des fins de tracking publicitaire.

Une équipe de chercheurs de l’Université de Princetown s’est intéressée aux gestionnaires de mots de passe présents dans la quasi-totalité des navigateurs. De Chrome à Firefox et passant par Edge et Opera, les navigateurs proposent ce type de fonctionnalités, servant surtout à l’auto-remplissage de champs requérant que l’internaute renseigne un identifiant ou une adresse email et un mot de passe afin de s’identifier.

La vulnérabilité en question dans cette étude est bien connue, mais jusqu’à présent les recherches s’orientaient sur l’exploitation faite de cette faille par des acteurs malveillants afin de dérober identifiants et mots de passe. La manœuvre consiste à placer sur un site un formulaire de connexion invisible récupérant les informations automatiquement entrée par le navigateur.

Dans le cas présent, les chercheurs se sont penchés sur l’utilisation de ces gestionnaires à des fins de tracking publicitaire. Deux scripts ont été étudiés : AdThink et OnAudience. Ceux-ci ont été conçus pour récupérer non pas des mots de passe, mais des pseudo et des adresses mail, selon les modalités de connexion des différents sites.

Formulaire invisible

Les scripts injectent des formulaires de connexion invisibles en arrière-plan d’une page Web et en extraient les identifiants, qui sont ensuite hashés, de sorte à fournir un identifiant unique. Lequel sera utilisé comme identifiant publicitaire persistant suivant les utilisateurs d’une page à l’autre. L’avantage de cette méthode : « l'auto-remplissage de formulaire de connexion en général ne nécessite pas d'interaction de l'utilisateur; tous les principaux navigateurs remplissent automatiquement le nom d'utilisateur (souvent une adresse e-mail), quelle que soit la visibilité du formulaire ».

Or l’adresse email ne change pas : « la suppression des cookies, l'utilisation du mode de navigation privée ou le changement d'appareils n'empêcheront pas le suivi » expliquent les chercheurs. Cette vulnérabilité est connue depuis plus d’une dizaine d’années mais n’a jamais été corrigée, ou seulement à la marge. Mais c’est, selon les universitaires, la conception même des gestionnaires de mots de passe qu’il faudrait revoir. Reste que les sites choisissant d’exécuter ces scripts risquent de rencontrer quelques problèmes à partir de mai prochain.