Sur le web, à chaque fois que vous devez remplir un formulaire, il est bien pratique de pouvoir remplir automatiquement tous les champs obligatoires. Ceci est possible avec la saisie automatique (ou auto-complétion) mise en place avec le navigateur Google Chrome.
Oui mais...
Cette saisie automatique peut être utilisée pour envoyer des données personnelles à votre insu, en utilisant des champs cachés. Voici un exemple de code démontrant la faille, connue depuis 2012.
L'astuce consiste à rendre invisible les champs en les plaçant en dehors de la zone visible de votre navigateur avec le code css margin-left:-500px
<p style="margin-left:-500px">
<input type="text" name="cc_number">
</p>
Un peu de javascript et hop, vos données personnelles sont récupérées sans votre consentement et sans avoir appuyé sur le bouton envoyer.
function onchangehandler(event)
{
// On affiche le contenu du champ dans la console, mais on aurait pu l'envoyer à l'insu de l'utilisateur
console.log(event.target.name + ": " + event.target.value);
}
// On lance la fonction onchangehandler pour tous les champs input
document.querySelectorAll('input').forEach(function(input) { input.addEventListener('input', onchangehandler); } );
Aperçu final
La solution
La solution est de désactiver la saisie automatique sur Google Chrome. Vous pouvez accéder à cela en tapant chrome://settings/autofill dans la barre d'adresse de votre navigateur.
Par Thibaut Pietri
Ingénieur informatique spécialisé réseau, basé à Toulouse, j'ai plus de 20 ans d'expérience en développement et sécurisation de sites Internet, Extranet & applications mobiles autour des technologies LAMP (Linux/Apache/MySQL/PHP) sur différents outils de gestion de contenu (Wordpress, Prestashop, Drupal, Isens Evolution...).
Derniers articles
Les risques de sécurité liés aux métadonnées des photos
14 août 2019 En photographie numérique, les métadonnées sont stockées à l'intérieur d'un fichier JPG et permettent de décrire un certain nombre d'informations complémentaires. Ces métadonnées représentent un risque de sécurité.
Comment vérifier si votre site internet a été piraté ou infecté ?
9 août 2019 Le piratage d'un site web peut parfois ne pas être visible directement avec un navigateur web. En effet le piratage peut avoir des objectifs variés. Certains ont tout intérêt à rester invisible.
L'authentification à facteurs multiples pour protéger votre site web
7 août 2019 L'authentification à facteurs multiples est un système de sécurité combinant au moins deux modes d'identification différents. Explications.