Une faille de sécurité dans la gestion des formulaires par Chrome permet à des sites malicieux de récupérer des informations personnelles que l'internaute croit ne pas avoir fourni.

Pour faciliter la saisie des formulaires de commande ou d'inscription sur Internet, tous les navigateurs proposent désormais leur remplissage automatique, en enregistrant les données saisies ici, pour les remplir là. Le gain de temps est appréciable, et fluidifie le commerce électronique, ce qui explique pourquoi Google en vante les mérites auprès des professionnels du webmarketing.

Traditionnellement, le remplissage automatique se base sur le nom des champs donné par les développeurs dans les formulaires, ce qui est très variable d'un site à un autre. Certains mettront "e-mail", d'autres "email", certains écriront "codepostal", d'autres "code_postal", etc. C'est donc pour standardiser ces formulaires que la firme de Mountain View a ajouté dans Chrome le support d'un nouvel attribut intitulé "Autocomplete-type", et publié une spécification.

Mais comme le signale Yoast, qui indique que Matt Cutts a encore fait la promotion de Autocomplete-type lors du salon Pubcon, il est possible de détourner cet attribut pour récupérer des informations personnelles à l'insu de l'internaute. Sur cette page de démonstration, qui fonctionne sous Chrome, le webmaster semble demander à l'internaute uniquement son nom, mais une série de champs cachés (e-mail, adresse postale, ville,…) sont en réalité complétés automatiquement, et les résultats envoyés au serveur.

Dans la spécification d'Autocomplete-type, Google reconnaît lui-même que "lorsque l'on traite d'informations personnelles de l'utilisateur, un soin particulier doit être pris pour s'assurer que les données sont protégées sont transmises avec le consentement de l'utilisateur". "Cette proposition améliore la précision des produits de remplissage automatique pour classifier les éléments du formulaire, ce qui pourrait potentiellement aider des sites malicieux à identifier et extraire des données privées de l'utilisateur", ajoute Google. Il précisait que la responsabilité en incombait aux créateurs des navigateurs. Or visiblement, Chrome n'est pas sécurisé :

Partager sur les réseaux sociaux

Articles liés