Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

L'outil de saisie automatique des formulaires de Chrome peut être utilisé pour envoyer des données
à l'insu de l'utilisateur avec des champs cachés

Le , par Olivier Famien

0PARTAGES

5  0 
Lorsque vous naviguez sur la toile et que vous devez à chaque fois remplir un formulaire, l’un des moyens les plus rapides de la faire est d’utiliser les outils de remplissage automatique des formulaires. Plusieurs outils possèdent ces fonctionnalités qui peuvent être ajoutées aux navigateurs en tant qu’extension ou utilisées directement à partir des navigateurs.

Dans Google Chrome, vous pouvez l’activer en cliquant sur les trois boutons situés tout à fait à droite de la barre d’adresse du navigateur, puis dans le menu qui s’affiche vous cliquez sur « ;Paramètres ;» et enfin sur « ;Paramètres de synchronisation ;». Dans le menu qui s’affiche à nouveau, vous cochez la case « ;Saisie automatique ;» si vous souhaitez remplir les formulaires automatiquement.

Cela est très pratique dans la mesure où l’utilisateur n’a pas besoin de remplir manuellement chaque formulaire qu’il rencontre. Le navigateur s’en charge directement en sauvegardant les données de l’utilisateur et en remplissant les champs que l’utilisateur souhaite remplir à partir des données préalablement enregistrées.

Toutefois, il se trouve que cette fonctionnalité assez appréciée par plusieurs pose un problème de sécurité sur Chrome, car une personne malveillante pourrait récupérer des données personnelles de l’utilisateur sans son consentement. En effet, en principe avec cette fonctionnalité, le navigateur se charge de remplir automatiquement les champs des formulaires et vous ne faites que cliquer sur le bouton d’envoi. Cependant, des personnes mal intentionnées pourraient intégrer dans leur page web des champs de formulaire cachés qui ne seraient pas visibles par l’utilisateur, mais reconnus par le navigateur comme des éléments à remplir.

Aussi, en utilisant la fonctionnalité Autofill de Chrome pour remplir les champs visibles, le navigateur remplira par la même occasion les champs cachés dans le code source de la page web. Dans ce cas en envoyant les données du formulaire, l’utilisateur enverrait également d’autres données sans le savoir et que le tiers malveillant récupérera pour ses activités illicites.

Pour mieux comprendre comment cela se passe de manière pratique, vous pouvez jeter un coup d’œil à la démonstration ci-dessous.


Pour ceux qui souhaitent également effectuer des tests pour mieux apprécier le problème de sécurité, vous pouvez utiliser ce lien qui vous permettra de voir que derrière les deux champs visibles de la page se trouvent plusieurs autres éléments à remplir qui n’ont pas été ajoutés sur la page web, mais qui sont contenus dans le code source.

Il faut souligner que cette faille a depuis longtemps été portée à la connaissance du public, mais apparemment elle existe toujours et est susceptible d’être utilisée par les personnes peu recommandables. D’autres navigateurs ont trouvé des solutions pour contourner le problème. Dans Safari par exemple, en utilisant la fonctionnalité de saisie automatique, le navigateur vous renvoie toutes les informations sur les données que vous vous apprêtez à transmettre, qu’elles soient visibles par l’utilisateur ou non. Et pour ce qui concerne Firefox, vous devez faire un clic droit dans chaque champ afin de sélectionner l’identité que vous souhaitez utiliser afin que le navigateur remplisse automatiquement chaque champ.

En attendant que l’équipe de Chrome trouve un meilleur moyen de gérer les données saisies automatiquement par son outil, certains recommandent de le désactiver pour éviter le risque de transmettre certaines données à des tiers malveillants sans le savoir. Pour désactiver cette fonctionnalité dans Chrome, il suffit de suivre le même processus que pour l’activation et de décocher la saisie automatique au lieu de la cocher.

Source : GitHub, Chromium, Yoast

Et vous ?

Que pensez-vous de cette faille ;?

Est-elle assez sérieuse pour abandonner l’outil autofill de Chrome ;?

Voir aussi

Chrome 51 : Google corrige quinze failles de sécurité, dont deux jugées critiques t a encore versé 26 000 $ à des chercheurs en sécurité

Google améliore la sécurité de Chrome, le navigateur affichera désormais une alerte face aux sites malveillants

La Rubrique Développement web, Forum Chrome, Cours et tutoriels web, FAQ web

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Fhamtaom
Candidat au Club https://www.developpez.com
Le 10/01/2017 à 17:37
C'est assez impressionnant de voir qu'un navigateur tel que Chrome laisse fuiter aussi simplement des informations via une option proposée en natif et activée par défaut.
Le mécanisme est tellement évident que je ne comprend pas pourquoi Google ne l'a pas vu lors du développement et qu'en plus ils ne réagissent pas.
A ce niveau, on ne peut pas vraiment parler de faille de sécurité mais plus de négligence de la part de Google.
0  0 
Avatar de
https://www.developpez.com
Le 11/01/2017 à 7:17
@Fhamtaom entièrement d'accord, surtout que ce problème peut être corrigé en moins de 5 min
0  0 
Avatar de Doksuri
Membre expert https://www.developpez.com
Le 11/01/2017 à 9:25
Je suis du meme avis que Fhamtaom, je ne pense pas qu'il s'agisse d'une faille.

Si je ne me trompe pas, chrome stock les donnees en fonction des noms des inputs. et comme 99% des noms sont les memes (c'est plus facile en tant que dev d'avoir name="email" plutot que name="input_12345"
Du coup, si le site A demande input name="phone" et qu'on le renseigne, le site B qui a ce meme input name="phone" hidden se retrouve avec la data renseignee.

Et comme toute fonctionalite, ca peut etre mal utilise.
0  0 
Avatar de jpiotrowski
Membre averti https://www.developpez.com
Le 13/01/2017 à 21:45
Lisez donc ce livre, vous verrez que le principe d'affaiblissement de la robustesse d'un logiciel est un principe assez ancien promu par la NSA pour lui faciliter le travail :
https://www.tallandier.com/livre-9791021008632.htm
0  0 
Avatar de Jean-Victor
Futur Membre du Club https://www.developpez.com
Le 14/01/2017 à 2:33
Les données enregistrées pour les formulaires n'apparaissaient pas tant que je n'avais pas cliqué dans l'un des champs d'un formulaire. Cependant, dans le menu des paramètres, la case de remplissage automatique des formulaires était cochée. Il me semblait avoir sélectionné une option pour que le remplissage effectif exige l'étape supplémentaire de cliquer dans un des champs d'un formulaire, mais je ne l'ai pas retrouvée.
0  0 
Avatar de domi65
Membre confirmé https://www.developpez.com
Le 14/01/2017 à 20:23
vous pouvez utiliser ce lien qui vous permettra de voir que derrière les deux champs visibles...
... et pour envoyer un certain nombre d'informations à ce site dont on ne sait pas ce qu'il en fait ensuite !
0  0 
Avatar de LukeSky_
Nouveau Candidat au Club https://www.developpez.com
Le 15/01/2017 à 22:16
J'ai découvert cette semaine Pikcio une appli française qui permet de récolter ses data et de les enregistrer seulement en local, ils n'utilisent pas de serveurs. Je vais tester la Beta!
0  0 
Avatar de domi65
Membre confirmé https://www.developpez.com
Le 16/01/2017 à 12:18
Citation Envoyé par tontonCD Voir le message
Pourquoi Chrome ? Je suis sous Firefox et le lien fonctionne tout autant !
Bien sûr que le lien fonctionne. Mais Firefox ne pré-remplit pas les champs sans un minimum d'interaction avec l'utilisateur.. Donc n'envoie pas d'infos sur la personne via des champs dissimulés.
0  0 
Avatar de tontonCD
Membre régulier https://www.developpez.com
Le 16/01/2017 à 12:22
C'est exact, sous FF il faut avoir rempli les champs pour que le contenu apparaisse
0  0 
Avatar de Doksuri
Membre expert https://www.developpez.com
Le 16/01/2017 à 18:01
Citation Envoyé par domi65 Voir le message
Mais Firefox ne pré-remplit pas les champs sans un minimum d'interaction avec l'utilisateur..
Chrome non plus (et aucun autre navigateur je pense)

Arretez de psychoter ... vous activez la fonction de saisie automatique, vous entrez des donnees dans des formulaires ... c'est "normal" que le navigateur replisse le maximum avec les donnees que vous lui avez fournis.

[coup2gueule]
Ca y est, quelqu'un a decouvert le F12, et maintenant c'est la fete du slip ?

Responsabilisez-vous un peut aussi. Arretez de faire une confiance aveugle dans tous les outils qu'on vous fournis.
[/coup2gueule]
0  0