Tout comme la plupart d'entre vous, moi aussi je déteste vraiment remplir des formulaires web, en particulier sur les appareils mobiles. Pour faciliter l'exécution de ce processus, Google Chrome et d'autres grands navigateurs proposent une fonctionnalité "Remplissage automatique" qui remplit automatiquement le formulaire Web en fonction des données entrées précédemment dans des champs similaires. Cependant, il s'avère qu'un attaquant peut utiliser cette fonctionnalité de remplissage automatique contre vous et vous tromper dans le renversement de vos informations privées à des pirates informatiques ou tiers malveillants. Le développeur web finlandais et le hacker de whitehat Viljami Kuosmanen ont publié une démo sur GitHub qui montre comment un attaquant pourrait tirer parti de la fonctionnalité de remplissage automatique fournie par la plupart des navigateurs, plugins et outils tels que les gestionnaires de mots de passe. Bien que, cette astuce a été découverte pour la première fois par Ricardo Martin Rodriguez, analyste de la sécurité chez ElevenPaths, en l'an 2013, mais il semble que Google n'a rien fait pour remédier à la faiblesse de fonctionnalité Autofill.

Le site démo de la démonstration de concept se compose d'un simple formulaire en ligne avec seulement deux champs: Nom et Email. Mais ce qui n'est pas visible sont de nombreux champs cachés (hors de la vue), y compris le numéro de téléphone, l'organisation, l'adresse, le code postal, la ville et le pays.

Ainsi, si les utilisateurs disposant d'un profil de remplissage automatique configuré dans leur navigateur remplissent ce formulaire simple et cliquent sur le bouton de soumission, ils enverront tous les champs ignorant le fait que les six champs qui leur sont cachés mais présents sur la page Rempli et envoyé à phishers sans scrupules. Vous pouvez également tester votre navigateur et la fonctionnalité de remplissage automatique de votre extension à l'aide du site Poos de Kuosmanen. Kuosmanen peut rendre cette attaque encore pire en ajoutant plus de champs personnels hors de la vue de l'utilisateur, y compris l'adresse de l'utilisateur, le numéro de carte de crédit, la date d'expiration et CVV, bien auto-remplir des formulaires de données financières déclencheront des avertissements sur Chrome lorsque les sites n'offrent pas HTTPS .

Les utilisateurs Firefox de Mozilla n'ont pas besoin de s'inquiéter de cette attaque particulière comme le navigateur actuellement, ne dispose pas d'un système de remplissage automatique multi-box et oblige les utilisateurs à sélectionner les données de pré-remplissage pour chaque boîte manuellement. Par conséquent, le navigateur Firefox ne peut pas être trompé dans les boîtes de remplissage de texte par des moyens programmatiques, Mozilla principal ingénieur de sécurité Daniel Veditz dit. Voici comment activer la fonctionnalité de remplissage automatique La façon la plus simple de se protéger contre de telles attaques de phishing consiste à désactiver la fonctionnalité de remplissage automatique de formulaire dans votre navigateur, le gestionnaire de mots de passe ou les paramètres d'extension. La fonction de remplissage automatique est activée par défaut. Voici comment désactiver cette fonctionnalité dans Chrome: Allez dans Paramètres → Afficher les paramètres avancés en bas et sous la section Contrôles et formulaires, décochez la case Activer la saisie automatique pour remplir les formulaires Web en un seul clic. Dans Opera, accédez à Paramètres → Remplissage automatique et désactivez-le. Dans Safari, accédez à Préférences et cliquez sur Remplissage automatique pour l'éteindre.