Presque tous les navigateurs Web sont désormais dotés d’un outil de gestion de mot de passe, permettant d’enregistrer et de remplir les formulaires d’authentification en ligne.
Ces derniers sont essentiels, car nous estimons qu’en moyenne un utilisateur a une centaine de comptes demandant un mot de passe et vu que ces derniers doivent être longs et uniques, il n’est pas humainement possible de s’en rappeler de tous. Mais selon une nouvelle étude du « Centre for Information Technology Policy » de Princeton, ces mêmes gestionnaires sont exploités comme un moyen de traquer les utilisateurs en ligne.

Problème:
Deux compagnies de traqueur ont été examinées (AdThink, OnAudience) lors de cette recherche. Elles exploitent le fait que les gestionnaires de mot de passe incluse dans les navigateurs remplissent automatiquement les champs notamment le nom d’utilisateur et email. Selon l’étude plus de 1’000 sites web dans le top 1 million les plus visités utilisent ces traqueurs et sont donc concernés.

Que pouvons-nous faire :
Il existe plusieurs autres gestionnaires de mot de passe plus complet que ceux inclus dans les navigateurs qui offre une meilleure granularité dans les options comme désactiver le remplissage automatique (come Lastpass) ou encore bloquer les scripts de traquing (uBlock origine). Mais dans les deux cas, cela implique que l’utilisateur doit proactivement installer une add-on et comme nous le savons tous les utilisateurs ne changent que très rarement les configurations par défaut.

Steven Meyer
Partner & CEO
Ing. EPFL, CISSP