Une faille de sécurité dans la gestion des formulaires par Chrome permet à des sites malicieux de récupérer des informations personnelles que l'internaute croit ne pas avoir fourni.

Pour faciliter la saisie des formulaires de commande ou d'inscription sur Internet, tous les navigateurs proposent désormais leur remplissage automatique, en enregistrant les données saisies ici, pour les remplir là. Le gain de temps est appréciable, et fluidifie le commerce électronique, ce qui explique pourquoi Google en vante les mérites auprès des professionnels du webmarketing.

Traditionnellement, le remplissage automatique se base sur le nom des champs donné par les développeurs dans les formulaires, ce qui est très variable d'un site à un autre. Certains mettront "e-mail", d'autres "email", certains écriront "codepostal", d'autres "code_postal", etc. C'est donc pour standardiser ces formulaires que la firme de Mountain View a ajouté dans Chrome le support d'un nouvel attribut intitulé "Autocomplete-type", et publié une spécification.

Mais comme le signale Yoast, qui indique que Matt Cutts a encore fait la promotion de Autocomplete-type lors du salon Pubcon, il est possible de détourner cet attribut pour récupérer des informations personnelles à l'insu de l'internaute. Sur cette page de démonstration, qui fonctionne sous Chrome, le webmaster semble demander à l'internaute uniquement son nom, mais une série de champs cachés (e-mail, adresse postale, ville,…) sont en réalité complétés automatiquement, et les résultats envoyés au serveur.

Dans la spécification d'Autocomplete-type, Google reconnaît lui-même que "lorsque l'on traite d'informations personnelles de l'utilisateur, un soin particulier doit être pris pour s'assurer que les données sont protégées sont transmises avec le consentement de l'utilisateur". "Cette proposition améliore la précision des produits de remplissage automatique pour classifier les éléments du formulaire, ce qui pourrait potentiellement aider des sites malicieux à identifier et extraire des données privées de l'utilisateur", ajoute Google. Il précisait que la responsabilité en incombait aux créateurs des navigateurs. Or visiblement, Chrome n'est pas sécurisé :

une comparateur meilleur vpn numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !