Lorsque vous naviguez sur la toile et que vous devez à chaque fois remplir un formulaire, l’un des moyens les plus rapides de la faire est d’utiliser les outils de remplissage automatique des formulaires. Plusieurs outils possèdent ces fonctionnalités qui peuvent être ajoutées aux navigateurs en tant qu’extension ou utilisées directement à partir des navigateurs.
Dans Google Chrome, vous pouvez l’activer en cliquant sur les trois boutons situés tout à fait à droite de la barre d’adresse du navigateur, puis dans le menu qui s’affiche vous cliquez sur « ;Paramètres ;» et enfin sur « ;Paramètres de synchronisation ;». Dans le menu qui s’affiche à nouveau, vous cochez la case « ;Saisie automatique ;» si vous souhaitez remplir les formulaires automatiquement.
Cela est très pratique dans la mesure où l’utilisateur n’a pas besoin de remplir manuellement chaque formulaire qu’il rencontre. Le navigateur s’en charge directement en sauvegardant les données de l’utilisateur et en remplissant les champs que l’utilisateur souhaite remplir à partir des données préalablement enregistrées.
Toutefois, il se trouve que cette fonctionnalité assez appréciée par plusieurs pose un problème de sécurité sur Chrome, car une personne malveillante pourrait récupérer des données personnelles de l’utilisateur sans son consentement. En effet, en principe avec cette fonctionnalité, le navigateur se charge de remplir automatiquement les champs des formulaires et vous ne faites que cliquer sur le bouton d’envoi. Cependant, des personnes mal intentionnées pourraient intégrer dans leur page web des champs de formulaire cachés qui ne seraient pas visibles par l’utilisateur, mais reconnus par le navigateur comme des éléments à remplir.
Aussi, en utilisant la fonctionnalité Autofill de Chrome pour remplir les champs visibles, le navigateur remplira par la même occasion les champs cachés dans le code source de la page web. Dans ce cas en envoyant les données du formulaire, l’utilisateur enverrait également d’autres données sans le savoir et que le tiers malveillant récupérera pour ses activités illicites.
Pour mieux comprendre comment cela se passe de manière pratique, vous pouvez jeter un coup d’œil à la démonstration ci-dessous.
Pour ceux qui souhaitent également effectuer des tests pour mieux apprécier le problème de sécurité, vous pouvez utiliser ce lien qui vous permettra de voir que derrière les deux champs visibles de la page se trouvent plusieurs autres éléments à remplir qui n’ont pas été ajoutés sur la page web, mais qui sont contenus dans le code source.
Il faut souligner que cette faille a depuis longtemps été portée à la connaissance du public, mais apparemment elle existe toujours et est susceptible d’être utilisée par les personnes peu recommandables. D’autres navigateurs ont trouvé des solutions pour contourner le problème. Dans Safari par exemple, en utilisant la fonctionnalité de saisie automatique, le navigateur vous renvoie toutes les informations sur les données que vous vous apprêtez à transmettre, qu’elles soient visibles par l’utilisateur ou non. Et pour ce qui concerne Firefox, vous devez faire un clic droit dans chaque champ afin de sélectionner l’identité que vous souhaitez utiliser afin que le navigateur remplisse automatiquement chaque champ.
En attendant que l’équipe de Chrome trouve un meilleur moyen de gérer les données saisies automatiquement par son outil, certains recommandent de le désactiver pour éviter le risque de transmettre certaines données à des tiers malveillants sans le savoir. Pour désactiver cette fonctionnalité dans Chrome, il suffit de suivre le même processus que pour l’activation et de décocher la saisie automatique au lieu de la cocher.
Source : GitHub, Chromium, Yoast
Et vous ?
Que pensez-vous de cette faille ;?
Est-elle assez sérieuse pour abandonner l’outil autofill de Chrome ;?
Voir aussi
Chrome 51 : Google corrige quinze failles de sécurité, dont deux jugées critiques t a encore versé 26 000 $ à des chercheurs en sécurité
Google améliore la sécurité de Chrome, le navigateur affichera désormais une alerte face aux sites malveillants
La Rubrique Développement web, Forum Chrome, Cours et tutoriels web, FAQ web
L'outil de saisie automatique des formulaires de Chrome peut être utilisé pour envoyer des données
à l'insu de l'utilisateur avec des champs cachés
L'outil de saisie automatique des formulaires de Chrome peut être utilisé pour envoyer des données
à l'insu de l'utilisateur avec des champs cachés
Le , par Olivier Famien
Une erreur dans cette actualité ? Signalez-nous-la !