Technologies expliquées simplement

Comment empêcher les fonctionnalités de remplissage automatique du navigateur de divulguer vos données personnelles

Si vous êtes comme la plupart des gens, vous comptez sur le remplissage automatique du navigateur pour compléter des formulaires web ennuyeux. Le “remplissage automatique” du navigateur remplit automatiquement vos informations dans les champs des formulaires web en fonction des informations que vous avez précédemment saisies dans ces champs.

La mauvaise nouvelle est que des tiers malveillants et des hackers malintentionnés peuvent utiliser cette fonctionnalité de remplissage automatique dans les navigateurs pour vous tromper et vous faire divulguer vos informations sensibles. Un hacker éthique de Finlande, Viljami Kuosmanen, qui est également développeur web, a montré dans sa démonstration GitHub que des attaquants pouvaient détourner la fonctionnalité de remplissage automatique dans les plugins, les gestionnaires de mots de passe (et d’autres outils), et les navigateurs.

browser-autofill-kuosmanen-github

Longtemps avant Kuosmanen, l’analyste de sécurité d’ElevenPaths, Ricardo Martin Rodriguez, avait découvert cette vulnérabilité de remplissage automatique du navigateur en 2013. Jusqu’à présent, Google n’a pas trouvé de solution à cette vulnérabilité.

Divulguer vos informations sensibles sans le savoir

Sur le site de démonstration de Kuosmanen, vous verrez un simple formulaire web composé de seulement deux champs – nom et adresse e-mail. Cependant, le formulaire contient de nombreux champs cachés (c’est-à-dire hors de vue) ; ces champs cachés incluent l’adresse, l’organisation, le numéro de téléphone, la ville, le code postal et le pays.

browser-autofill-hacked-filled-form-1

Dans un formulaire comme celui ci-dessus, vous ne verriez que les champs nom et e-mail, mais votre fonctionnalité de remplissage automatique remplirait automatiquement vos détails dans les champs restants. Un formulaire web de phishing comme celui ci-dessus aurait collecté plus d’informations que vous n’en êtes conscient lorsque vous cliquez sur le bouton Soumettre.

Pour tester les fonctionnalités de remplissage automatique de votre navigateur et de vos extensions, vous pouvez utiliser le site de démonstration que Kuosmanen a mis en place. En soumettant le formulaire, j’ai remarqué qu’il avait récupéré plus d’informations que je n’en avais fournies. J’ai utilisé le dernier Mozilla Firefox pour ce test et j’ai été étonné de la quantité d’informations que j’ai divulguées.

Dans Chrome, le remplissage automatique des données financières déclenche un avertissement pour les sites web sans HTTPS. D’après mon expérience, le formulaire de Kuosmanen a tenté de collecter la date à laquelle j’ai rempli le formulaire, mon adresse, mon numéro de carte de crédit, le CVV, la date d’expiration de ma carte de crédit, ma ville, mon pays, mon e-mail, mon nom, mon organisation, mon téléphone et mon code postal.

browser-autofill-hacked-filled-form-2

Le formulaire a même essayé de collecter certaines métadonnées sur mon type de navigateur, mon adresse IP actuelle et plus encore. Voir ma capture d’écran ci-dessous.

browser-autofill-hacked-filled-form-3

Apple Safari, Google Chrome et Opera étaient tous vulnérables lors d’un test d’attaque de Kuosmanen.

En janvier 2017, Daniel Veditz, ingénieur principal en sécurité chez Mozilla, a déclaré que les navigateurs Firefox ne peuvent pas être trompés pour remplir programmatique des zones de texte. Les utilisateurs de Firefox sont à l’abri des attaques de remplissage automatique du navigateur (du moins pour l’instant), car le navigateur n’a pas de système de remplissage automatique multi-champs. Le navigateur Firefox de Mozilla rend obligatoire pour les utilisateurs de sélectionner manuellement les données pré-remplies pour chaque zone de texte dans un formulaire web.

Conclusion : désactivez la fonctionnalité de remplissage automatique de votre navigateur

La précaution la plus simple à prendre contre les attaques de phishing est de désactiver la fonctionnalité de remplissage automatique des formulaires dans les paramètres de votre navigateur, de votre extension ou de votre gestionnaire de mots de passe. Par défaut, la fonctionnalité de remplissage automatique de votre navigateur est activée.

Pour désactiver le remplissage automatique dans Chrome :

  1. Allez dans les “Paramètres” du navigateur.

  2. Trouvez “Paramètres avancés” en bas de la page.

  3. Dans la zone “Mots de passe et formulaires”, décochez “Activer le remplissage automatique.”

Pour désactiver le remplissage automatique dans Opera :

  1. Allez dans les Paramètres.

  2. Allez dans “Remplissage automatique” et désactivez-le.

Pour désactiver le remplissage automatique dans Safari :

  1. Allez dans “Préférences.”

  2. Cliquez sur “Remplissage automatique” pour le désactiver.

Si vous avez trouvé cet article utile, veuillez cliquer sur “Oui” ci-dessous. Nous serions également ravis de voir vos commentaires.

Contenu

  1. Divulguer vos informations sensibles sans le savoir
  2. Conclusion : désactivez la fonctionnalité de remplissage automatique de votre navigateur
  3. Pour désactiver le remplissage automatique dans Chrome :
  4. Pour désactiver le remplissage automatique dans Opera :
  5. Pour désactiver le remplissage automatique dans Safari :
Tableau de bord Ello

Ello : Exploration du Réseau Social Privé

Bitdefender n'installant pas : 3 solutions faciles que vous pouvez utiliser

Plus d'informations sur les corrections de Bitdefender

Google supprime Inbox et lui donne six mois à vivre

rapports-d-aspect-16x9

Comprendre les rapports d'aspect vidéo

Gestionnaire de fichiers avec des étiquettes pour organiser vos fichiers : Top 5

Réparer le réveil sur LAN qui ne fonctionne pas

Wake On LAN ne fonctionne pas sur Windows [Résolu]

easycap-mac-mspacman-console

Utiliser EasyCAP pour capturer des VHS et des consoles sur Mac

Google teste une nouvelle fonctionnalité Chrome pour l'éligibilité à la mise à niveau vers Windows 11