Les serveurs de Google Chrome et de Microsoft Edge regorgent de données sensibles, sans votre accord. Via le correcteur orthographique des deux navigateurs, une équipe de chercheurs en cybersécurité s’est aperçue que nos mots de passe étaient clairement visibles. Une brèche de taille qui touchait d’autres géants comme AWS et même le gestionnaire de mot de passe LastPass. Ces derniers ont aussitôt publié des correctifs.
“Certains des plus grands sites web du monde sont exposés à l’envoi à Google et à Microsoft de données sensibles sur les utilisateurs, notamment les noms d’utilisateur, les adresses électroniques et les mots de passe”, a écrit l’équipe d’Otto-JS, qui se penche notamment sur les problèmes liés à JavaScript. L’ensemble des chercheurs travaillaient par le passé chez des banques, des services de l’État américain ou encore des groupes médias.
Des informations, sans en louper une
Concrètement, que se passe-t-il avec vos mots de passe et le correcteur orthographique de ces navigateurs ? Et bien, de façon automatique, les programmes de correction analysent l’ensemble des données saisies et renvoient dans leurs scripts les informations que vous saisissez, sans en louper une seule. Dans une démonstration avec des captures d’écran à l’appui, l’équipe a montré qu’il était très simple de retrouver le mot de passe que vous aviez saisi plus tôt, et ce sur n’importe quel site sur la toile.
Lire aussi – Le mot de passe préféré des français est à pleurer (ne l’utilisez surtout pas !)
Dans les formulaires, les emails et d’autres informations sont aussi récupérées. Pour les mots de passe, l’équipe dit que les données ne seront récupérées que si l’utilisateur clique sur “afficher le mot de passe” pour vérifier qu’il a bien rempli le champ sans erreur. Cela dit, nous sommes nombreux à utiliser cette technique.
“Nous avons trouvé une combinaison de fonctionnalités qui, une fois activées, exposeront inutilement des données sensibles à des tiers. comme Google et Microsoft. Ce qui est préoccupant, c’est la facilité d’activation de ces fonctionnalités et le fait que la plupart des utilisateurs activeront ces fonctionnalités sans vraiment se rendre compte de ce qui se passe en arrière-plan”, s’est exprimé le principal responsable de l’étude et directeur technique chez Otto-JS, Josh Summit.
Des correcteurs un peu trop curieux
Pour se rendre compte de la taille de cette faille, les chercheurs ont testé d’inscrire des données sensibles sur de nombreux sites différents et ainsi mesurer la proportion de ceux qui, à cause des correcteurs d’orthographe de Google Chrome ou Microsoft Edge, renverront les informations dans les serveurs des deux géants du numérique. En tout, 96,7 % des sites étaient concernés pour renvoyer une ou plusieurs données sensibles. Pour le point spécifique des mots de passe, le ratio passe à 73,3 %, ce qui reste bien trop élevé.
Les différents sites couvraient des catégories de taille comme des sites de services bancaires, des plateformes gouvernementales, des réseaux sociaux, des outils cloud, des e-commerces ou encore des plateformes de soins de santé.
Tous les utilisateurs de Microsoft Edge ne sont pas concernés, car il faut aller télécharger de sa propre volonté le correcteur d’orthographe du navigateur pour qu’il soit actif. Ce n’est pas le cas chez Google, ou Chrome active par défaut son outil. Si vous utilisez le navigateur, alors vous étiez certainement concerné. Pour l’heure, ni l’un ni l’autre n’ont publié de correctif, selon Oppo-JS.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
Je rappelle à toutes fins utiles que je ne me sers ni de Google Chrome, ni d’Edge car je suis sur Firefox donc le correcteur de Google est à oublier !