Chrome : le correcteur orthographique amélioré envoie vos mots de passe à Google

Les correcteurs orthographiques améliorés de Chrome et Edge, les navigateurs de Google et de Microsoft respectivement, présentent une faille de sécurité. En effet, ces derniers envoient vos données personnelles sur les serveurs des géants de la Silicon Valley.

On se doute que pour proposer des fonctionnalités aussi utiles que le correcteur orthographique, Microsoft et Google sont dans l’obligation de recueillir des données statistiques. Cela ne pose aucun problème tant que celles-ci sont anonymisées. Mais selon la compagnie de sécurité informatique Otto-js, le correcteur orthographique amélioré, que les utilisateurs doivent activer de leur plein gré, et qui envoie les informations saisies dans les formulaires en ligne vers les serveurs de Google et de Microsoft, expose les internautes au vol de données personnelles.

Modes de paiement, adresses, noms, dates de naissance, numéros de Sécurité sociale ou de passeport: tous les jours, des millions d’utilisateurs envoient leurs données les plus personnelles sur les serveurs des géants de la Silicon Valley. On imagine les conséquences que pourrait avoir le vol de toutes ces données si la faille de sécurité exposée par le correcteur orthographique amélioré était exploitée à mauvais escient. Même les sacro-saints mots de passe sont exposés. À en croire Josh Summit, Chef de la technologie chez Otto-js,  si Montrer le mot de passe est activé, votre mot de passe est envoyé vers leurs serveurs tiers. “Ce qui est inquiétant, c’est la facilité avec laquelle ces fonctionnalités sont activables. Les utilisateurs vont les enclencher sans réaliser ce qu’il se passe”.

Les correcteurs orthographiques améliorés de Microsoft et Google flirtent avec l’illégalité

Des pirates sachant exploiter ces failles pourraient intercepter les communications entre l'utilisateur et les serveurs de Google ou Microsoft. Selon Otto-js, en stockant des mots de passe venus de nos questionnaires, ces deux compagnies se rendent coupables de “Spell Jacking” (détournement de mot de passe) et se mettent dans l’illégalité en violant l’un des principes fondamentaux de la sécurité informatique appelé “need-to-know” (besoin d’en connaître). Si tous les sites sont concernés par cette faille, Alibaba Cloud Service, Office 365 et Google Cloud seraient particulièrement vulnérables. En toute logique, les organismes publics et entreprises telles que Microsoft sont les cibles privilégiées de ces attaques.

Les chercheurs ont démontré le danger que représente le correcteur orthographique amélioré en se connectant sur leur compte Alibaba Cloud Account et en prouvant par la suite que leur mot de passe avait effectivement été envoyé sur le serveur de Google. Dans une vidéo servant à appuyer leurs conclusions, ils expliquent comment les entreprises exposent leurs infrastructures (serveurs, bases de données, mots de passe et autres) à travers cette fonctionnalité d’apparence anodine. Si la responsabilité de corriger cette brèche revient donc à Google et Microsoft, n’oublions pas que les utilisateurs sont les premiers garants de la sécurité de leurs données personnelles. Il est donc fortement recommandé de ne pas activer le Correcteur orthographique amélioré et de toujours installer les dernières mises à jour de Chrome.

Sur le même thème: Microsoft Defender est devenu moins fiable que les autres antivirus gratuits, une première

 

Source: BleepingComputer

 

Voir les commentaires
Ailleurs sur le web