14Aug

Vous devez désactiver la saisie automatique dans votre gestionnaire de mots de passe

Les annonceurs ont trouvé une nouvelle façon de vous suivre. Selon Freedom to Tinker, quelques réseaux publicitaires abusent maintenant des scripts de suivi pour capturer les adresses e-mail que votre gestionnaire de mots de passe remplit automatiquement sur les sites Web.

Mais cela devient pire: ils pourraient utiliser cette technologie pour capturer vos mots de passe aussi, s'ils le voulaient. Cela affecte tout le monde utilisant un gestionnaire de mots de passe, qu'il s'agisse d'un gestionnaire de mots de passe intégré comme celui de Chrome, Firefox ou Edge, ou d'une extension de navigateur comme LastPass. Par conséquent, vous devez probablement désactiver la fonctionnalité de remplissage automatique pour empêcher cela.

Comment l'auto-remplissage laisse-t-il apparaître vos informations

Lorsque vous enregistrez votre nom d'utilisateur et votre mot de passe sur un site Web, votre gestionnaire de mots de passe s'en souvient.À partir de ce moment, il tentera de les remplir automatiquement dans les boîtes de nom d'utilisateur et mot de passe qu'il voit sur ce site Web. Cela rend la connexion plus rapide, car il suffit de cliquer sur "Connexion".

Mais certains scripts publicitaires tiers - ceux que presque tous les sites web utilisent - commencent à les utiliser pour vous suivre. Ils s'exécutent en arrière-plan, créent de fausses boîtes de connexion et mot de passe que vous ne pouvez même pas voir, et capturent les informations d'identification que votre gestionnaire de mots de passe les remplit.

Vous pouvez voir ce problème par vous-même en visitant cette page de démonstration. Entrez une fausse adresse e-mail et un mot de passe, et vous serez invité à l'enregistrer dans le gestionnaire de mots de passe de votre navigateur. Continuez, et il sera automatiquement rempli en arrière-plan, avec le script capturant l'adresse e-mail et le mot de passe.

Ce site de démonstration ne présente actuellement aucun problème si vous utilisez LastPass, mais tout ce qui remplit automatiquement les noms d'utilisateur et les mots de passe sans intervention de l'utilisateur - LastPass inclus - est théoriquement vulnérable.

Vous avez besoin de mots de passe uniques partout, donc les gestionnaires de mots de passe sont toujours essentiels

Ce problème démontre l'importance d'utiliser des mots de passe uniques sur chaque site Web. Ce n'est pas seulement une attaque théorique - il est actuellement utilisé par les annonceurs sur 1110 du top million de sites Web aujourd'hui, selon Freedom to Tinker. Les annonceurs utilisent actuellement cette technique pour capturer les noms d'utilisateur et les adresses e-mail, mais rien ne les empêche de saisir des mots de passe, si l'un d'entre eux était d'humeur particulièrement néfaste un jour.

Si un annonceur a capturé votre mot de passe sur un site Web, la personne la plus vulnérable avec ces données pourrait se connecter à ce site Web. Ce n'est pas idéal, mais ce n'est pas la pire chose qui puisse arriver. Si vous utilisez le même mot de passe pour ce site que pour votre compte e-mail, cette personne peut alors accéder à votre compte e-mail et l'utiliser pour accéder à vos autres comptes. C'est le pire qui puisse arriver.

C'est pourquoi nous recommandons toujours d'utiliser un gestionnaire de mot de passe, quoi qu'il arrive. Avec tous les différents comptes que la personne moyenne a en ligne, et la fréquence des attaques contre ces sites, il est impératif que vous utilisiez un mot de passe unique pour chaque site que vous visitez. Le meilleur moyen de le faire est d'utiliser un gestionnaire de mots de passe - ne jetez pas le bébé avec l'eau du bain.

Protégez-vous en désactivant le remplissage automatique

Toutefois, vous pouvez toujours atténuer certains de vos risques liés à ces scripts en désactivant le remplissage automatique dans votre gestionnaire de mots de passe. Par exemple, si vous utilisez LastPass( qui n'est pas actuellement affecté par ces scripts, mais pourrait théoriquement l'être), la fonction de remplissage automatique remplit les champs de connexion avec vos informations d'identification, vous pouvez donc simplement cliquer sur "Connexion".Si vous désactivez la fonction de remplissage automatique, vous devrez cliquer sur l'icône LastPass dans un champ de mot de passe et cliquer sur votre nom d'utilisateur pour remplir vos informations sauvegardées. Vous ne le ferez que lorsque vous vous connecterez, ce qui devrait protéger vos informations d'identification. Vous ne les pulvérisez plus sur toutes les pages.

Vous pouvez également simplement copier et coller des noms d'utilisateur et des mots de passe à partir du gestionnaire de mots de passe de votre choix, ce qui vous rendra encore plus sûr, mais nettement moins pratique. Nous pensons que choisir de lancer manuellement le remplissage automatique uniquement sur les pages de connexion devrait être un bon compromis entre la sécurité et la commodité.Si ces pages de connexion étaient compromises avec un tel script, rien ne pourrait vous aider, de toute façon - le script pourrait lire vos informations de connexion même si vous les avez copiées-collées ou saisies manuellement.

Malheureusement, la plupart des gestionnaires de mots de passe du navigateur ne vous permettent pas de désactiver le remplissage automatique. Il n'y a aucun moyen de désactiver la fonctionnalité de remplissage automatique si vous utilisez le gestionnaire de mot de passe intégré dans Google Chrome ou Microsoft Edge, par exemple. Chrome propose une option permettant de désactiver le remplissage automatique, mais elle ne désactive que le remplissage automatique des données, telles que les adresses et les numéros de téléphone, et non les mots de passe. Il y a une option pour désactiver le remplissage automatique des mots de passe dans le gestionnaire de mot de passe de Mozilla Firefox, mais il est caché dans environ: config.

Si vous utilisez le gestionnaire de mots de passe intégré dans Chrome ou Edge, nous vous encourageons à passer à un gestionnaire de mots de passe tiers offrant plus de contrôle, tel que LastPass ou 1Password.1Password n'est pas affecté par ce problème car il n'inclut pas de fonctionnalité de remplissage automatique automatique.

Dans LastPass, vous pouvez désactiver le remplissage automatique en cliquant sur le bouton de l'extension LastPass dans la barre d'outils de votre navigateur et en cliquant sur "Préférences".Décochez l'option "Remplir automatiquement les informations de connexion" sous Général puis cliquez sur "Enregistrer" pour enregistrer vos modifications.

Si vous voulez continuer à utiliser le gestionnaire de mots de passe de Firefox, tapez "about: config" dans la barre d'adresse de Firefox et appuyez sur Entrée. Vous verrez un écran d'avertissement vous informant que la modification de divers paramètres peut entraîner des problèmes. Ne vous inquiétez pas, si vous changez simplement le réglage que nous indiquons, tout ira bien. Cliquez sur "J'accepte le risque!" Pour continuer.

Tapez "autofillForms" dans la zone de recherche et double-cliquez sur la préférence "signon.autofillForms" pour la définir sur "false".Firefox ne remplira plus automatiquement les noms d'utilisateur et les mots de passe sans votre permission.

Si vous utilisez un autre gestionnaire de mots de passe, vous devez ouvrir ses préférences et désactiver l'option "remplissage automatique" ou "remplissage automatique" pour vous assurer que votre gestionnaire de mots de passe ne fuira pas vos informations personnelles.

Les développeurs de navigateurs et de gestionnaires de mots de passe doivent repenser les gestionnaires de mots de passe pour les rendre plus sécurisés. Ils ne devraient pas essayer de remplir automatiquement vos données de connexion sur chaque page Web que vous visitez sur un site Web particulier. C'est juste demander des ennuis. Mais, pour l'instant, vous pouvez désactiver le remplissage automatique pour vous rendre plus sûr.

Crédit d'image: vladwei / Shutterstock.com.