Une attaque de phishing vole vos informations personnelles depuis le remplissage automatique du navigateur et les gestionnaires de mots de passe

Nous utilisons tous la fonctionnalité de remplissage automatique du navigateur pour remplir des informations personnelles qui sont régulièrement requises pour s’inscrire à de nouveaux services ou faire des achats en ligne. La fonctionnalité de remplissage automatique est quelque chose née de notre nécessité, mais il a récemment été découvert (depuis un certain temps) que le navigateur pourrait divulguer vos informations aux phishers. Malheureusement, il en va de même pour le gestionnaire de mots de passe, un outil que nous utilisons pour générer des mots de passe forts pour différents sites et les sauvegarder.

Viljami Kuosmanen, un développeur web finlandais et hacker, a découvert que plusieurs navigateurs, y compris Chrome, Safari d’Apple, Opera et des outils utilitaires comme LastPass, peuvent être trompés pour divulguer les informations personnelles des utilisateurs que les navigateurs récupèrent à partir des systèmes de remplissage automatique liés aux profils.

L’attaque repose sur le fait de tromper les utilisateurs lorsque ceux-ci saisissent des informations dans l’une des cases ; le remplissage automatique remplira d’autres informations dans d’autres cases, même celles qui ne sont pas visibles sur la page. Ce qui se passe ici, c’est que lorsque l’utilisateur a l’intention de ne fournir que les informations de base, le phisher obtient toutes les informations stockées par le remplissage automatique. Inutile de dire que le phisher obtiendra également d’autres informations, y compris les informations de carte de crédit, les adresses postales et d’autres services auxquels l’utilisateur s’est inscrit. Si vous êtes intéressé, vous pouvez consulter ce site de démonstration qui vous demandera d’entrer votre e-mail et votre nom, mais une fois soumis, il affichera d’autres informations personnelles en utilisant votre numéro de téléphone portable et votre date de naissance.

C’est pourquoi je n’aime pas le remplissage automatique dans les formulaires web. #phishing #sécurité #infosec pic.twitter.com/mVIZD2RpJ3 — viljami.io 🇺🇸 (@anttiviljami) 4 janvier 2017

Cependant, Firefox semble être le seul navigateur qui est immunisé contre de telles attaques, car il n’a pas encore pris en charge le système de remplissage automatique multi-champs, et ne peut donc pas être amené à remplir d’autres informations sans activer les champs de texte. L’attaque de phishing repose toujours sur le fait de tromper les utilisateurs en les incitant à entrer au moins quelques informations en utilisant le remplissage automatique, puis la voie est libre pour les attaquants. S’ajoute à cela le fait que le remplissage automatique est activé par défaut dans certains navigateurs, y compris Google Chrome, et il est conseillé de le désactiver pour se protéger contre une telle attaque. En attendant, faites également attention aux pages scrupuleuses avant de divulguer des données.