Confidentialité Web: des traceurs dupent les gestionnaires de mots de passe des navigateurs

Des chercheurs du Freedom to Tinker, une cellule de recherche rattachée au Center for Information Technology Policy de l’université de Princeton (New Jersey) qui étudie l’impact du numérique dans la vie au quotidien, a publié en fin d’année dernière une contribution sur la manière dont des traceurs exploitent des failles dans des outils de gestion de mots de passe par les navigateurs Web. Probablement à des fins de data marketing et de publicité ciblée.

Des sociétés orientées web analytics sont en mesure de récupérer les identifiants des utilisateurs de navigateurs Internet comme Firefox de la Fondation Mozilla.

A ce jour, les chercheurs ont identifié deux scripts (Adthink et OnAudience) qui associent l’identifiant d’un internaute à sa navigation sur Internet, créant ainsi la possibilité de distiller de la publicité ciblée.

Les gestionnaires de mots de passe associés aux browsers sont conçus pour détecter automatiquement les champs de nom d’utilisateur et de mot de passe d’un site Web.

Dans une contribution blog en date du 27 décembre, le Center for Information Technology Policy de Princeton détaille la manière dont des scripts de suivi des publicités parviennent à s’incruster par le biais du navigateur.

Un utilisateur d’un navigateur remplit le formulaire d’accès à un site Web et demande ensuite à son navigateur d’enregistrer les codes afin de faciliter la consultation ultérieurement.

Le script de tracking n’est pas présent à ce stade. En revanche, il apparaît lorsque l’utilisateur visite une autre page du site Web qui avait nécessité une inscription au préalable.

Le script de tracking glisse un formulaire d’accès invisible, qui est automatiquement renseigné par l’outil de gestion de mots de passe du navigateur.  Les éléments d’identification par e-mail sont envoyés à des serveurs tiers par voie de  chiffrement (fonctions de hachage cryptographique).

Ainsi, il semblerait que le nébuleux script Adthink envoie les éléments collectés à Axciom, un spécialiste du data marketing. Les chercheurs de Princeton ont repéré cette destination : p-eu.acxiom-online.com.

Selon Arvind Narayanan, l’un des contributeurs du Center for Information Technology Policy, la source du problème réside dans les sites Web qui autorisent des plug-in comme Adthink de fonctionner en arrière-plan. Volontairement ou non.

Si les outils dédiés de gestion de mots de passe ont vocation à assurer la sécurité des utilisateurs en créant des mots de passe uniques et « forts », ceux rattachés aux navigateurs Internet semblent moins vigilants sur ce volet. La faille décrite par les experts serait « bien connue ».

L’usage abusif de scripts pour connaître l’historique de navigation des internautes n’est pas sans poser des problèmes relatifs à la confidentialité.

Mais, ces scripts pourraient aussi techniquement et potentiellement être utilisés pour connaître les mots de passe des internautes.

Dans un tel scénario, la problématique déborderait sur la sécurité au-delà du respect de la confidentialité.

(Crédit photo :  Firefox)