La saisie des mots de passe est une tâche ennuyeuse. C’est pourquoi de nombreuses personnes utilisent volontiers les gestionnaires de mots de passe des principaux navigateurs. Si c’est votre cas, écoutez bien : des chercheurs du Center for Information Technology Policy de l’université de Princeton ont découvert qu’il existe des sites qui recueillent des informations à partir de ces outils pour afficher des publicités ciblées.
Les gestionnaires de mots de passe natifs (ou gestionnaires de connexion) des navigateurs sont très simples par rapport à des outils comme 1Password et LastPass, mais ils font des miracles car ils remplissent automatiquement les champs de connexion et de mot de passe. Selon le professeur d’informatique Arvind Narayanan, l’un des responsables de la recherche, les scripts des sociétés AdThink et OnAudience – les seules identifiées à ce jour – exploitent cette fonctionnalité pour collecter des données.
Fondamentalement, les scripts créent des champs de connexion qui sont invisibles pour l’utilisateur, mais qui sont identifiés par le navigateur et donc remplis par le gestionnaire de mots de passe. Le nom d’utilisateur est ensuite recueilli et saisi dans une base de données de contrôle. Lorsque ce même identifiant est identifié sur d’autres pages, des publicités spécifiques peuvent être affichées pour cet utilisateur ? c’est comme si la bannière le “poursuivait”.
Rien n’empêche l’utilisation de ces informations à d’autres fins. Les chercheurs ont constaté, par exemple, que le script AdThink envoie les noms recueillis à la société de marketing Acxiom, qui applique probablement les informations à la mesure d’audience. Mais le pire, c’est le risque que cette technique soit exploitée d’une manière ou d’une autre pour saisir des mots de passe.
Pour que l’astuce fonctionne, le script doit être implémenté sur des sites avec des champs de connexion légitimes, après tout, l’utilisateur doit y avoir un compte pour que l’auto-remplissage soit activé. Cela indique que les administrateurs du site ne savent probablement pas que les scripts collectent des données à partir de ces champs : qui exposerait ainsi sa base d’utilisateurs ?
Mais pour Narayanan, les sites ont leur part de responsabilité car ils n’exercent pas un contrôle plus rigoureux sur les scripts fonctionnant en arrière-plan : “Ces problèmes sont dus en partie au fait que les administrateurs ont été négligents en autorisant des scripts tiers sur leurs sites sans en comprendre les implications.
Audience Insights, la société responsable d’AdThink, n’a pas fait de commentaires à ce sujet. Au moins, l’entreprise dispose d’une page d’exclusion qui permet de bloquer le tracking (bien qu’il ne soit pas clair si ce blocage est réellement respecté).