Comment un formulaire web peut-il accéder à toutes les données stockées dans un profil de remplissage automatique ?

Il y a de fortes chances que vous passiez une grande partie de votre journée sur le Web et que donc vous utilisiez le remplissage automatique de votre navigateur. Tout ce qu’il y a de plus normal.

La fonction de remplissage automatique est une fonction qui facilite la vie des utilisateurs et qui permet de faire gagner beaucoup de temps. Pourtant cette fonctionnalité pourrait être malveillante et pourrait accéder à la totalité des données stockées dans un profil de remplissage automatique, sans que l’utilisateur soit au courant. En effet, cette option, grâce à laquelle vous n’avez ainsi plus besoin de saisir à chaque fois votre adresse postale, votre numéro de téléphone ou même simplement votre email n’est pas totalement inoffensive. C’est ce qu’a démontré un hacker finlandais du nom de Viljami Kuosmanen. Selon cet hacker, un formulaire qui ne vous demande que votre nom et votre adresse web pourrait récupérer aussi toutes les autres données contenues dans votre profil une fois le remplissage automatique validé. Il pourrait donc par exemple récupérer votre adresse, votre numéro de téléphone, votre code postal, les données de votre carte bancaire et autres. Les informations relevées dépendront de ce que vous avez stocké dans ce profil.

Un site malveillant pourrait ainsi vous extirper des informations que nous n’avez pas forcément envie de partager avec lui. Pour illustrer ces propos, Viljami Kuosmanen a mis en ligne une page de démonstration qui n’affiche que deux champs à remplir. Il démontre ensuite qu’un code sous-jacent tente de récupérer beaucoup d’autres champs d’information qui ne sont pas visibles sur la page. L’expert a enregistré une séquence d’identification sous Chrome tout en visualisant la totalité des données récupérées. Cette attaque fonctionne aussi avec Safari. Le seul navigateur à ne pas être sujet à cette attaque reste Firefox, où le remplissage d’un champ d’information doit être validé un par un par l’utilisateur, ce qui n’est donc pas possible pour les champs invisibles. Mais comme tout problème sur Internet, une solution existe. La solution la plus efficace reste de désactiver cette fonction de remplissage automatique, quitte à perdre du temps sur les formulaires.