Le blogue Freedom To Tinker, hébergé par le Center for Information Technology Policy de l’université de Princeton, montre dans l’un de ses derniers billets que les gestionnaires de mots de passe intégrés aux navigateurs Web posent un problème de confidentialité.

Les gestionnaires de mots de passe facilitent la vie des internautes en sauvegardant les mots de passe et les identifiants – le plus souvent une adresse de courriel – exigés par des sites, pour les remplir automatiquement et de façon transparente lors des visites suivantes.

Malheureusement, ils sont exploités par des scripts qui s’en servent pour exfiltrer l’adresse de courriel – ou même seulement un hachage d’adresse de courriel – vers des serveurs tiers, dans le but de pister l’internaute quelles que soient ses demandes de confidentialité ou ses paramètres de cookies.

Comme on peut s’en douter, il s’agit, le plus souvent, d’entreprises de publicité numérique, ou des entreprises affiliées de statistiques.

L’adresse de courriel est l’une des grandes constantes : les personnes tendent à ne pas en changer, et on utilise la même quel que soit l’appareil, le navigateur ou le service utilisé.

Pour décider d’envoyer des informations de connexion ou non, la plupart des navigateurs utilisent la politique de la même origine : ils cloisonnent les informations à fournir aux scripts et aux contenus de différentes origines – en gros de différents domaines ou de différents sites.

Les scripts, même tiers, étant souvent directement intégrés dans une page, la politique de la même origine ne fonctionne pas.

Dans un scénario typique d’abus, le script n’est pas présent sur la page d’inscription ou de connexion, mais l’est sur les autres pages du site. Sur ces autres pages, un formulaire de connexion invisible est intégré, et reçoit automatiquement les informations de connexion du gestionnaire de mots de passe du navigateur Web.

Ces informations sont passées à un serveur tiers, qui peut analyser et pister l’internaute sur toutes les pages de milliers de serveurs ‘infectés’.

Il n’y a aucun moyen trivial de résoudre cette issue, puisque du point de vue du navigateur, tout fonctionne comme cela devrait. La faille provient des éditeurs, qui intègrent des scripts tiers sans avoir la capacité technique de déceler s’ils sont malveillants ou abusent de la vie privée.

L’option la plus sûre est aussi la plus contraignante : cesser d’utiliser les gestionnaires de mots de passe intégrés.

L’option un peu moins sûre est de bloquer les sites et les domaines des entreprises dont les scripts sont fautifs. Seulement deux ont été découverts à l’heure actuelle : Adthing et OnAudience :

Scripts exfiltrant les adresses de courriels pour pister les internautes. Source: Freedom to Tinker

Scripts exfiltrant les adresses de courriels pour pister les internautes. Source : Freedom to Tinker

Le moyen le plus simple de les bloquer est d’utiliser un bloqueur de publicité, et de choisir un abonnement à la liste EasyPrivacy.

Il nous semble que la solution la meilleure est probablement politique. L’Union européenne a cru bien faire en exigeant un consentement aux cookies, mais les cookies ne sont qu’un des multiples outils de pistage. Il faudrait soit interdire les outils de pistage, soit fortement réglementer leur utilisation, et exiger le consentement des internautes.