Des scripts trompent les navigateurs pour récupérer des données, le Français AdThink nous répond

Gestionnaire es-tu là ? 64
image dediée
Crédits : Marco_Piunti/iStock
Securité
Par
le mercredi 03 janvier 2018 à 17:12
Vincent Hermann

Des chercheurs de l’université de Princeton se sont penchés sur des scripts capables d’extraire des identifiants depuis les formulaires d’authentification à travers les gestionnaires de mots de passe intégrés aux navigateurs. L'une des entreprises concernées, Adthink, nous a répondu à ce sujet.

Gunes Acar, Steven Englehardt et Arvind Narayanan font partie du Center for Information Technology Policy de l’université de Princeton. Ils connaissent bien les attaques de type XSS (cross-site scripting), qui existent depuis plus d’une décennie. Mais au-delà des risques en matière de sécurité, le principe pose également un problème pour la vie privée quand il est exploité par certaines entreprises, notamment dans le domaine publicitaire.

Les chercheurs ont analysé en particulier deux scripts d'Adthink et OnAudience. Intégrés dans une page web, ils placent des formulaires invisibles d’authentification, destinés à faire réagir les gestionnaires de mots de passe natifs des navigateurs. De là, les scripts extraient l’identifiant, souvent une adresse email, et peuvent même (en théorie) récupérer les mots de passe.

À la clé un suivi très précis des habitudes de navigation à travers l'ensemble des sites utilisant le même script.

Fonctionnement du mécanisme

Lisez la suite : 87 % de ce contenu reste à découvrir

Seuls nos abonnés peuvent lire l'intégralité de cet article.


chargement
Chargement des commentaires...