Discussion :

[Olivier Famien]

L’outil de saisie automatique des formulaires de Chrome peut être utilisé pour envoyer des données,
à l’insu de l’utilisateur en utilisant des champs cachés

Lorsque vous naviguez sur la toile et que vous devez à chaque fois remplir un formulaire, l’un des moyens les plus rapides de la faire est d’utiliser les outils de remplissage automatique des formulaires. Plusieurs outils possèdent ces fonctionnalités qui peuvent être ajoutées aux navigateurs en tant qu’extension ou utilisées directement à partir des navigateurs.

Dans Google Chrome, vous pouvez l’activer en cliquant sur les trois boutons situés tout à fait à droite de la barre d’adresse du navigateur, puis dans le menu qui s’affiche vous cliquez sur « Paramètres » et enfin sur « Paramètres de synchronisation ». Dans le menu qui s’affiche à nouveau, vous cochez la case « Saisie automatique » si vous souhaitez remplir les formulaires automatiquement.

Cela est très pratique dans la mesure où l’utilisateur n’a pas besoin de remplir manuellement chaque formulaire qu’il rencontre. Le navigateur s’en charge directement en sauvegardant les données de l’utilisateur et en remplissant les champs que l’utilisateur souhaite remplir à partir des données préalablement enregistrées.

Toutefois, il se trouve que cette fonctionnalité assez appréciée par plusieurs pose un problème de sécurité sur Chrome, car une personne malveillante pourrait récupérer des données personnelles de l’utilisateur sans son consentement. En effet, en principe avec cette fonctionnalité, le navigateur se charge de remplir automatiquement les champs des formulaires et vous ne faites que cliquer sur le bouton d’envoi. Cependant, des personnes mal intentionnées pourraient intégrer dans leur page web des champs de formulaire cachés qui ne seraient pas visibles par l’utilisateur, mais reconnus par le navigateur comme des éléments à remplir.

Aussi, en utilisant la fonctionnalité Autofill de Chrome pour remplir les champs visibles, le navigateur remplira par la même occasion les champs cachés dans le code source de la page web. Dans ce cas en envoyant les données du formulaire, l’utilisateur enverrait également d’autres données sans le savoir et que le tiers malveillant récupérera pour ses activités illicites.

Pour mieux comprendre comment cela se passe de manière pratique, vous pouvez jeter un coup d’œil à la démonstration ci-dessous.

Pour ceux qui souhaitent également effectuer des tests pour mieux apprécier le problème de sécurité, vous pouvez utiliser ce lien qui vous permettra de voir que derrière les deux champs visibles de la page se trouvent plusieurs autres éléments à remplir qui n’ont pas été ajoutés sur la page web, mais qui sont contenus dans le code source.

Il faut souligner que cette faille a depuis longtemps été portée à la connaissance du public, mais apparemment elle existe toujours et est susceptible d’être utilisée par les personnes peu recommandables. D’autres navigateurs ont trouvé des solutions pour contourner le problème. Dans Safari par exemple, en utilisant la fonctionnalité de saisie automatique, le navigateur vous renvoie toutes les informations sur les données que vous vous apprêtez à transmettre, qu’elles soient visibles par l’utilisateur ou non. Et pour ce qui concerne Firefox, vous devez faire un clic droit dans chaque champ afin de sélectionner l’identité que vous souhaitez utiliser afin que le navigateur remplisse automatiquement chaque champ.

En attendant que l’équipe de Chrome trouve un meilleur moyen de gérer les données saisies automatiquement par son outil, certains recommandent de le désactiver pour éviter le risque de transmettre certaines données à des tiers malveillants sans le savoir. Pour désactiver cette fonctionnalité dans Chrome, il suffit de suivre le même processus que pour l’activation et de décocher la saisie automatique au lieu de la cocher.

Source : GitHub, Chromium, Yoast

Et vous ?

Que pensez-vous de cette faille ?

Est-elle assez sérieuse pour abandonner l’outil autofill de Chrome ?

Voir aussi

Chrome 51 : Google corrige quinze failles de sécurité, dont deux jugées critiques t a encore versé 26 000 $ à des chercheurs en sécurité

Google améliore la sécurité de Chrome, le navigateur affichera désormais une alerte face aux sites malveillants

La Rubrique Développement web, Forum Chrome, Cours et tutoriels web, FAQ web

[Fhamtaom]

C'est assez impressionnant de voir qu'un navigateur tel que Chrome laisse fuiter aussi simplement des informations via une option proposée en natif et activée par défaut.
Le mécanisme est tellement évident que je ne comprend pas pourquoi Google ne l'a pas vu lors du développement et qu'en plus ils ne réagissent pas.
A ce niveau, on ne peut pas vraiment parler de faille de sécurité mais plus de négligence de la part de Google.

[Invité]

@Fhamtaom entièrement d'accord, surtout que ce problème peut être corrigé en moins de 5 min

[Doksuri]

Je suis du meme avis que Fhamtaom, je ne pense pas qu'il s'agisse d'une faille.

Si je ne me trompe pas, chrome stock les donnees en fonction des noms des inputs. et comme 99% des noms sont les memes (c'est plus facile en tant que dev d'avoir name="email" plutot que name="input_12345")
Du coup, si le site A demande input name="phone" et qu'on le renseigne, le site B qui a ce meme input name="phone" hidden se retrouve avec la data renseignee.

Et comme toute fonctionalite, ca peut etre mal utilise.

[google80]

ça parait impressionnant de simplitude mais ça ne m'étonne pas.

Je trouve normal qu'un produit américain laisse des failles dans un produit mondialement populaire et gratuit.
ça aide la CIA/NSA/FBI surement ....
C'est gratuit, donc personne ne peut porter plainte car on coche tous la case des CGU (sans les lires) quand on l'installe...

[Invité]

Lisez donc ce livre, vous verrez que le principe d'affaiblissement de la robustesse d'un logiciel est un principe assez ancien promu par la NSA pour lui faciliter le travail :
https://www.tallandier.com/livre-9791021008632.htm

[Jean-Victor]

Les données enregistrées pour les formulaires n'apparaissaient pas tant que je n'avais pas cliqué dans l'un des champs d'un formulaire. Cependant, dans le menu des paramètres, la case de remplissage automatique des formulaires était cochée. Il me semblait avoir sélectionné une option pour que le remplissage effectif exige l'étape supplémentaire de cliquer dans un des champs d'un formulaire, mais je ne l'ai pas retrouvée.

[domi65]

vous pouvez utiliser ce lien qui vous permettra de voir que derrière les deux champs visibles...

... et pour envoyer un certain nombre d'informations à ce site dont on ne sait pas ce qu'il en fait ensuite !

[LukeSky_]

J'ai découvert cette semaine Pikcio une appli française qui permet de récolter ses data et de les enregistrer seulement en local, ils n'utilisent pas de serveurs. Je vais tester la Beta!

[domi65]

Pourquoi Chrome ? Je suis sous Firefox et le lien fonctionne tout autant !

Bien sûr que le lien fonctionne. Mais Firefox ne pré-remplit pas les champs sans un minimum d'interaction avec l'utilisateur.. Donc n'envoie pas d'infos sur la personne via des champs dissimulés.

[tontonCD]

C'est exact, sous FF il faut avoir rempli les champs pour que le contenu apparaisse

[Doksuri]

Mais Firefox ne pré-remplit pas les champs sans un minimum d'interaction avec l'utilisateur..

Chrome non plus (et aucun autre navigateur je pense)

Arretez de psychoter ... vous activez la fonction de saisie automatique, vous entrez des donnees dans des formulaires ... c'est "normal" que le navigateur replisse le maximum avec les donnees que vous lui avez fournis.

[coup2gueule]
Ca y est, quelqu'un a decouvert le F12, et maintenant c'est la fete du slip ?

Responsabilisez-vous un peut aussi. Arretez de faire une confiance aveugle dans tous les outils qu'on vous fournis.
[/coup2gueule]

[domi65]

Arretez de psychoter ... vous activez la fonction de saisie automatique, vous entrez des donnees dans des formulaires ... c'est "normal" que le navigateur replisse le maximum avec les donnees que vous lui avez fournis.

Je ne psychose pas. Je suis parfaitement calme. J'explique juste un détail technique. Je n'ai émis aucun jugement, contrairement à toi sur ma santé mentale.

[Doksuri]

Ma 1ere phrase repondait a ta citation.
Sinon, c'etait un "vous" general, pas une attaque personnelle