Comment les trackers Web exploitent les gestionnaires de mots de passe

• Catégorie: L'internet

Essayez Notre Instrument Pour Éliminer Les Problèmes

Sélectionnez Le Système D'Exploitation Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Choisissez Un Programme De Projection (Éventuellement) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Décrivez Votre Problème

Obtenez Une Réponse

Envoyez-Moi Par E-Mail Montrer Sur Le Site

La plupart des navigateurs Web sont livrés avec un gestionnaire de mots de passe intégré, un outil de base pour enregistrer les données de connexion dans une base de données et remplir des formulaires et / ou se connecter automatiquement aux sites en utilisant les informations contenues dans la base de données.

Les utilisateurs qui souhaitent plus de fonctionnalités s'appuient sur des gestionnaires de mots de passe tiers tels que LastPass, KeePass ou Dashlane. Ces gestionnaires de mots de passe ajoutent des fonctionnalités et peuvent s'installer en tant qu'extensions de navigateur ou programmes de bureau.

Recherche du Center for Information Technology Policy de Princeton suggèrent que les trackers Web récemment découverts exploitent les gestionnaires de mots de passe pour suivre les utilisateurs.

Les scripts de suivi exploitent une faiblesse des gestionnaires de mots de passe. Ce qui se passe est ce qui suit selon les chercheurs:

1. Un utilisateur visite un site Web, enregistre un compte et enregistre les données dans le gestionnaire de mots de passe.
2. Le script de suivi s'exécute sur des sites tiers. Lorsqu'un utilisateur visite le site, des formulaires de connexion sont injectés dans le site de manière invisible.
3. Le gestionnaire de mots de passe du navigateur remplira les données si un site correspondant est trouvé dans le gestionnaire de mots de passe.
4. Le script détecte le nom d'utilisateur, le hache et l'envoie à des serveurs tiers pour suivre l'utilisateur.

La représentation graphique suivante visualise le flux de travail.

Les chercheurs ont analysé deux scripts différents conçus pour exploiter les gestionnaires de mots de passe pour obtenir des informations identifiables sur les utilisateurs. Les deux scripts, AdThink et OnAudience, injectent des formulaires de connexion invisibles dans les pages Web pour récupérer les données de nom d'utilisateur renvoyées par le gestionnaire de mots de passe du navigateur.

Le script calcule les hachages et envoie ces hachages à des serveurs tiers. Le hachage est utilisé pour suivre les utilisateurs sur les sites sans utiliser de cookies ou d'autres formes de suivi des utilisateurs.

Le suivi des utilisateurs est l'un des Saint Graal de la publicité en ligne. Les entreprises utilisent les données pour créer des profils d'utilisateurs qui enregistrent les intérêts des utilisateurs en fonction d'un certain nombre de facteurs, par exemple en fonction des sites visités - Sports, Divertissement, Politique, Science - ou à partir de l'endroit où un utilisateur se connecte à Internet.

Les scripts analysés par les chercheurs se concentrent sur le nom d'utilisateur. Cependant, rien n'empêche également d'autres scripts d'extraire des données de mot de passe, ce que les scripts malveillants ont déjà essayé dans le passé.

Les chercheurs ont analysé 50000 sites Web et n'ont trouvé aucune trace de dumping de mot de passe sur aucun d'entre eux. Cependant, ils ont trouvé les scripts de suivi sur 1100 des 1 million de sites Web Alexa.

Les scripts suivants sont utilisés:

• AdThink: https://static.audienceinsights.net/t.js
• OnAudience: http://api.behavioralengine.com/scripts/be-init.js

AdThink

Le script Adthink contient des catégories très détaillées pour les traits personnels, financiers, physiques, ainsi que les intentions, les intérêts et les données démographiques.

Les chercheurs décrivent la fonctionnalité du script de la manière suivante:

1. Le script lit l'adresse e-mail et envoie les hachages MD5, SHA1 et SHA256 à secure.audiencesights.net.
2. Une autre demande envoie le hachage MD5 de l'adresse e-mail au courtier de données Acxiom (p-eu.acxiom-online.com)

Les internautes peuvent vérifier l'état du suivi et se désengager de la collecte de données sur cette page .

OnAudience

Le script OnAudience est «le plus souvent présent sur les sites Web polonais».

1. Le script calcule le hachage MD5 des adresses e-mail, ainsi que d'autres données de navigateur couramment utilisées pour les empreintes digitales (types MIME, plugins, dimensions de l'écran, langue, informations de fuseau horaire, chaîne d'agent utilisateur, informations sur le système d'exploitation et le processeur).
2. Un autre hachage est généré sur la base des données.

Protection contre le suivi Web des formulaires de connexion

Les utilisateurs peuvent installer des bloqueurs de contenu pour bloquer les demandes aux domaines mentionnés ci-dessus. le Confidentialité list le fait déjà, mais il est assez facile d'ajouter manuellement les URL à la liste noire.

Une autre défense est la désactivation du remplissage automatique des données de connexion. Les utilisateurs de Firefox peuvent définir la préférence about: config? Filter = signon.autofillForms sur false pour désactiver le remplissage automatique.

Mots de clôture

L'industrie de l'édition publicitaire est-elle en train de pelleter sa propre tombe? Les scripts de suivi invasifs sont une autre raison pour les utilisateurs d'installer des bloqueurs de publicités et de contenu dans les navigateurs Web.

Oui, ce site contient également des publicités. J'aurais aimé qu'il y ait une autre option pour gérer un site indépendant, ou une entreprise qui offrirait des solutions de publicité native qui ne fonctionnent que sur le serveur sur lequel un site s'exécute et qui ne nécessitent pas de connexions tierces ou d'utiliser le suivi.

Vous pouvez nous soutenir à travers Patreon , Pay Pal , ou en laissant un commentaire / en faisant passer le mot sur Internet.