Vous devez désactiver la saisie automatique dans votre gestionnaire de mots de passe
Les annonceurs ont trouvé un nouveau moyen de vous suivre. Selon Freedom to Tinker, quelques réseaux publicitaires abusent maintenant des scripts de suivi pour capturer les adresses e-mail que votre gestionnaire de mots de passe saisit automatiquement sur les sites Web..
Mais la situation empire: ils pourraient aussi utiliser cette technologie pour capturer vos mots de passe, s'ils le voulaient. Cela concerne toutes les personnes utilisant un gestionnaire de mots de passe, qu'il s'agisse d'un gestionnaire de mots de passe intégré tel que celui de Chrome, Firefox ou Edge, ou d'une extension de navigateur telle que LastPass. Par conséquent, vous devriez probablement désactiver la fonctionnalité de remplissage automatique pour éviter que cela ne se produise..
Comment la saisie automatique laisse-t-elle filtrer vos informations?
Lorsque vous enregistrez votre nom d'utilisateur et votre mot de passe sur un site Web, votre gestionnaire de mots de passe les mémorise. À partir de ce moment, il tentera de les renseigner automatiquement dans les champs Nom d'utilisateur et Mot de passe qu'il voit sur ce site Web. Cela rend la connexion plus rapide car il vous suffit de cliquer sur "Connexion"..
Mais certains scripts publicitaires tiers - ceux que presque tous les sites Web utilisent - commencent à les utiliser pour vous suivre. Ils fonctionnent en arrière-plan, créent de fausses boîtes de connexion et de mot de passe que vous ne pouvez même pas voir, et capturent les informations d'identification que votre gestionnaire de mots de passe les remplit..
Vous pouvez voir ce problème par vous-même en visitant cette page de démonstration. Entrez une fausse adresse email et un faux mot de passe, et vous serez invité à l'enregistrer dans le gestionnaire de mots de passe de votre navigateur. Continuez, et le contenu sera automatiquement rempli en arrière-plan, avec le script capturant l'adresse e-mail et le mot de passe..
Si vous utilisez LastPass, ce site de démonstration ne présente actuellement aucun problème, mais tout ce qui remplit automatiquement les noms d'utilisateur et mots de passe sans intervention de l'utilisateur (LastPass inclus) est théoriquement vulnérable..
Vous avez besoin de mots de passe uniques partout, les gestionnaires de mots de passe sont donc toujours essentiels
Ce problème démontre l'importance d'utiliser des mots de passe uniques sur chaque site Web. Selon Freedom to Tinker, ce ne sont pas seulement des attaques théoriques. Les annonceurs l'utilisent sur 1110 des 1 000 000 premiers sites Web actuellement. Les annonceurs utilisent actuellement cette technique uniquement pour capturer les noms d'utilisateur et les adresses électroniques, mais rien ne les empêche également de saisir les mots de passe, même si l'un d'entre eux était de mauvaise humeur un jour..
Si un annonceur a bien saisi votre mot de passe sur un site Web, le pire qui puisse en résulter serait de se connecter à ce site. Ce n'est pas idéal, mais ce n'est pas la pire chose qui puisse arriver. Si vous utilisez le même mot de passe pour ce site Web que pour votre compte de messagerie, cette personne pourrait alors accéder à votre compte de messagerie et l'utiliser pour accéder à vos autres comptes.. C'est le pire qui puisse arriver.
C'est pourquoi nous recommandons toujours d'utiliser un gestionnaire de mot de passe, quoi qu'il arrive. Avec tous les comptes différents d'une personne moyenne en ligne et la fréquence des attaques contre ces sites Web, il est impératif que vous utilisiez un mot de passe unique pour chaque site que vous visitez. La meilleure façon de le faire est d'utiliser un gestionnaire de mots de passe. Ne jetez pas le bébé avec l'eau du bain..
Protégez-vous en désactivant le remplissage automatique
Toutefois, vous pouvez toujours limiter certains de vos risques liés à ces scripts en désactivant le remplissage automatique dans votre gestionnaire de mots de passe. Par exemple, si vous utilisez LastPass (qui n'est pas actuellement affecté par ces scripts, mais pourrait l'être en théorie), la fonction de remplissage automatique remplit les champs de connexion avec vos informations d'identification afin que vous puissiez simplement cliquer sur "Connexion". Si vous désactivez la fonction de remplissage automatique, vous devrez cliquer sur l'icône LastPass dans un champ de mot de passe, puis sur votre nom d'utilisateur pour renseigner les informations que vous avez enregistrées. Vous ne ferez cela que lorsque vous essayez de vous connecter. Cela devrait donc protéger vos informations d'identification contre toute récupération. Vous ne les vaporisez plus sur toutes les pages.
Vous pouvez également simplement copier-coller les noms d'utilisateur et les mots de passe à partir du gestionnaire de mot de passe de votre choix, ce qui vous rendrait encore plus sûr, mais beaucoup moins pratique. Nous pensons que choisir de lancer manuellement la saisie automatique uniquement sur les pages de connexion devrait constituer un bon compromis entre sécurité et commodité. Si ces pages de connexion étaient compromises avec un tel script, rien ne pourrait vous aider. De toute façon, le script pourrait lire vos informations de connexion même si vous les avez copiées-collées ou saisies manuellement..
Malheureusement, la plupart des gestionnaires de mot de passe de navigateur ne vous permettent pas de désactiver le remplissage automatique. Par exemple, il est impossible de désactiver la fonctionnalité de remplissage automatique si vous utilisez le gestionnaire de mots de passe intégré dans Google Chrome ou Microsoft Edge. Chrome dispose d'une option pour désactiver le remplissage automatique, mais ne désactive que le remplissage automatique de données telles que les adresses et les numéros de téléphone, et non les mots de passe. Il existe une option pour désactiver la saisie automatique des mots de passe dans le gestionnaire de mots de passe de Mozilla Firefox, mais cette option est cachée dans about: config..
Si vous utilisez le gestionnaire de mots de passe intégré à Chrome ou Edge, nous vous encourageons à choisir un gestionnaire de mots de passe tiers offrant davantage de contrôle, comme LastPass ou 1Password. 1Password n'est pas concerné par ce problème car il n'inclut pas de fonctionnalité de remplissage automatique..
Dans LastPass, vous pouvez désactiver le remplissage automatique en cliquant sur le bouton d’extension LastPass dans la barre d’outils de votre navigateur et en cliquant sur «Préférences». Décochez l'option "Remplir automatiquement les informations de connexion" sous Général, puis cliquez sur "Enregistrer" pour enregistrer vos modifications..
Si vous souhaitez continuer à utiliser le gestionnaire de mots de passe de Firefox, vous devez taper «about: config» dans la barre d'adresse de Firefox et appuyer sur Entrée. Un écran d’avertissement vous informe que la modification de divers paramètres peut poser problème. Ne vous inquiétez pas, si vous ne modifiez que le paramètre unique indiqué, tout ira bien. Cliquez sur «J'accepte le risque!» Pour continuer.
Tapez "autofillForms" dans le champ de recherche et double-cliquez sur la préférence "signon.autofillForms" pour la définir sur "false". Firefox ne remplira plus automatiquement les noms d'utilisateur et mots de passe sans votre permission..
Si vous utilisez un autre gestionnaire de mots de passe, ouvrez ses préférences et désactivez les options de remplissage automatique ou de remplissage automatique pour vous assurer que votre gestionnaire de mots de passe ne divulguera pas vos informations personnelles..
Les développeurs de navigateurs et de gestionnaires de mots de passe doivent repenser les gestionnaires de mots de passe pour les rendre plus sécurisés. Ils ne doivent pas essayer de renseigner automatiquement vos données de connexion sur chaque page Web visitée sur un site Web particulier. C'est juste demander des ennuis. Mais, pour le moment, vous pouvez désactiver le remplissage automatique pour améliorer votre sécurité..
Crédit d'image: vladwei / Shutterstock.com.