Autofill de Chrome permet le fishing

L’autofill de Google Chrome permet de récupérer une valeur pour des champs cachés à l’utilisateur.

C’est assez effrayant mais ça ne serait pas la première fois qu’une fonctionnalité logicielle censée nous faciliter la vie, ait des côtés néfastes. D’ailleurs, ce problème existe depuis 2012 et visiblement il n’y a pas encore de solution.

Démonstration

Animation de démo de recupération de champs cachés

Le déput github qui démontre cette faille se trouve ici.

Je ne sais pas si Firefox offre cette même “fonctionnalité”, mais de toutes façons de l’utilisation que j’en ai faite, il semble avoir plus de mal à remplir les champs comme il faut. Mais ça n’engage que moi, je n’utilise pas trop Firefox.

Désactiver l’autofill

Vous savez, les champs qui deviennent tout jaunes quand il faut remplir un formulaire, ou un mot de passe. C’est cette fonctionnalité, assez pratique je l’avoue, qui est vulnérable.

Il faut se rendre dans les paramètres puis cliquer sur Paramètres de synchronisation avancés.

Capture d'écran du bouton de synchronisation avancée

Ensuite, vos paramètres doivent ressembler à cela. Mais ce n’est pas tout.

Capture d'écran des paramètres de synchronisation avancés

En effet, il se peut que votre carte bancaire soit enregistrée chez Google. C’est également un champ qui peut être rempli par cet autofill, il faut cependant saisir le code à l’arrière de la carte, donc ça reste moins problématique. J’espère seulement que cette faille ne permette pas de récupérer le numéro de carte. Pour supprimer votre carte de chez Google : https://payments.google.com

Il faut également supprimer ce qui est déjà enregistré en cliquant sur “Paramètres”, puis “Afficher les paramètres avancés”, puis “Gérer les paramètres de saisie automatique”, et supprimer les valeurs. Décocher également la fonction, comme ci-dessous.

Capture d'écran menu saisie automatique

Une fois que tout cela est fait, il serait peut être intéressant d’aller plus loin en supprimant également la synchronisation “magique” que Google Chrome effectue quand une saisie de mot de passe est effectuée. Il propose même de créer des mots de passe compliqués pour nous.

L’intention est bonne, mais l’utilisateur lambda qui n’a aucune idée de comment récupérer ses mots de passe est bloqué sur chrome à vie. J’en parlerai dans un prochain billet.

 

Stephen B

Développeur informatique passionné de numérique et de technologie au sens large du terme.