Savez-vous que vos données contenues dans la saisie automatique peuvent être hameçonnées ?

By | January 6, 2017

Savez-vous que vos données contenues dans la saisie automatique peuvent être hammeçonnées ?

La saisie automatique est une fonctionnalité présente la plupart des navigateurs modernes. Elle permet de gagner du temps en remplissant automatiquement les formulaires parfois longs trouvés sur la Toile. Cette fonctionnalité plutôt pratique présente pourtant une grande faille.
Par ailleurs, un développeur en a fait une démonstration sur Github.

Imaginez, vous remplissez les champs nom et email d’un formulaire sur un site Web. Et ce site parvient tout de même à obtenir d’autres informations supplémentaires que vous n’avez pas insérées mais présentes dans la saisie automatique tels que votre numéro de téléphone, votre adresse postale ou votre carte de crédit.
L’image suivante présente le test.

Démo du browser autofill phishing

Sur la page, seuls les champs Name et Email sont visibles. Mais en réalité d’autres champs sont également présents mais cachés. Le navigateur ne fait aucune différence et les remplit également.

Les champs présents

En gros, la propriété CSS margin-left:-500px de par sa valeur négative se charge ici d’éloigner les autres champs de notre visuel.

Cette faille est présente chez Google Chrome, ainsi qu’avec tous les navigateurs basés sous Chromium, comme le montre l’image ci-dessous avec Yandex Browser.

Démo sur Yandex Browser

En 2012, ce bug avait été déjà été signalé, mais aucune solution ne semble avoir été trouvée.
Pour plus d’informations sur le code html, prière visiter la page du développeur sur Github.

Source: ghacks.net

mdestroy

One thought on “Savez-vous que vos données contenues dans la saisie automatique peuvent être hameçonnées ?

  1. Atréalis

    une solution simple serait de ne pas remplir les formulaires autres que ceux cliqués (comme fait firefox)

    Reply

Leave a Reply

Your email address will not be published. Required fields are marked *