Chrome a les oreilles qui traînent

Pierrick Aubert |

Un développeur a découvert une faille dans le système de reconnaissance vocale de Chrome. Il est possible pour certains sites malicieux de suivre les discussions des internautes sans leur consentement.

Lors de la visite d'une page web avec Chrome, la mise en marche du microphone doit être approuvée par l'utilisateur. Après avoir fermé l'onglet ou une page, le microphone est censé se couper. Le développeur Tal Ater a découvert que des sites malveillants pouvaient prolonger l'enregistrement audio par l'intermédiaire de pop-under, des fenêtres qui s'affichent à l'arrière-plan. Contrairement aux pop-up, aucune icône d'état ne signale l'activation du micro et l'enregistrement de données peut se faire tant que le logiciel reste ouvert. De plus, ce mode d'écoute peut rester en veille jusqu'à ce que l'utilisateur prononce certains mot-clés. Démonstration en vidéo :

L'astuce exploitée ici est liée aux autorisations des sites HTTPS. Chrome mémorise lorsqu'un utilisateur donne son accord pour l'activation d'un micro et la question n'est plus posée par la suite. Le problème avec des pop-under est que l'enregistrement peut continuer sans que l'utilisateur ne s'en aperçoive. Tal Ater affirme avoir signalé ce problème à Google en septembre. L'entreprise lui aurait répondu qu'un correctif serait publié en novembre, mais ça n'a pas été le cas.

Dans un communiqué adressé à Ars Technica, la firme de Mountain View a indiqué que la fonction était en conformité avec la norme actuelle du W3C et qu'elle travaillait à l'améliorer. Il faut dans tous les cas que l'utilisateur donne au départ son autorisation pour que cet exploit fonctionne, les risques sont donc relativement limités. En attendant, il est possible de vérifier les sites auxquels vous avez accordé une autorisation en saisissant cette URL dans la barre d'adresse de Chrome : chrome://settings/contentExceptions#media-stream. Les plus méfiants peuvent également couper l'accès au microphone en se rendant dans les paramètres de Chrome (Paramètres > Paramètres avancés > Paramètres de contenu > Interdire aux sites d'accéder à ma caméra et à mon microphone).

avatar D-o-D | 

Rien que pour ca, je n'utiliserai pas Chrome....

avatar lukasmars | 

T'as pas a te justifier tu sais ...

avatar asproduct | 

HS : la news du parc d'attraction fait crasher l'appli iPhone... (Enfin le mien en tout cas...). Impossible d'ouvrir la news, ça quitte dès que je clique dessus

avatar Stéphane Moussie | 
@asproduct : Ça a été corrigé normalement. Quittez l'application puis rouvrez là.
avatar asproduct | 

@stephmouss :
Toujours pareil...

avatar dvd | 

Ce n'est pas un bug mais une feature!

avatar alan63 | 

Si on ne souhaite pas installer Flash sur son mac , pas d'autres choix que d'utiliser Chrome

avatar patrick86 | 

"Si on ne souhaite pas installer Flash sur son mac , pas d'autres choix que d'utiliser Chrome"

Non.

Il y a déjà avec Safari de quoi se passer de Flash sur pas mal de sites.
Pour d'autres on peut utiliser l'agent utilisateur de Safari pour iPad, de sorte à avoir les versions sans Flash de sites — qui sont capables de fournir une version mobile sans flash mais gardent la version "bouse" pour le reste.

avatar iRobot 5S | 

@patrick86 :
J'ai jamais compris pourquoi ces sites fonctionnent sur iPad dans flash et ne sont pas foutu de le faire sur Mac

avatar patrick86 | 

@iRobot 5S :

Ces sites fournissent une version dépourvue de Flash aux iPad. Les concepteurs font cette version plus ou moins par obligation (de plus en plus d'iPad explorent le web), mais laissent le site d'origine tel quel pour les postes fixes.
On peut y accéder sur Mac en changer l'Agent d'utilisateur, dans le menu développement de Safari. On active ce menu dans Préférences → Avancées de Safari.

avatar patrick86 | 

Permettre à un navigateur web d'accéder au micro et/ou à la webcam EST une faille.

avatar oomu | 

oui.

c'est l'exposer à l'exécution arbitraire (pas décidé par nous) du moindre site web publié sur internet (ça en fait) d'un simple clic "oh un popup, vite je valide, hop". C'était déjà problématique avec flash (mais sa nature de plugin propriétaire limitée son intégration et sa transparence dans l'interface du navigateur, maigre avantage)

Installer un programme, c'est déjà + d'effort et donc + de recul (mais de même il ne faut pas rendre trivial l'acte de télécharger/exécuter une application venue d'internet)

De plus, ça rend ENCORE ET TOUJOURS le navigateur CRITIQUE pour la sécurité. Le moindre bug du navigateur prenant des proportions toujours plus délirante.

avatar geranium | 

Suffit de "Toujours bloquer l'accès au micro" !

avatar XiliX | 

Me*** il a trouvé le backdoor pour la NSA...

->>[]

avatar joneskind | 

@XiliX

Attention... Tu vas avoir des problèmes toi ^_^

Sinon, j'aime assez la justification de Google.

"Comment ça une faille ? Ah... vous parlez de ça... J'avais pas compris tout de suite, parce qu'ici on considère pas ça comme une faille... Ok, bon beh on va proposer un correctif pour le mois prochain. Oui, novembre oui, c''est ça..."

Et trois mois plus tard.

"Oui bon faites pas chier on respecte les standards de la W3C, on "améliorera" ça plus tard"

"Améliorer"... tout est dit.

avatar 421 | 

Comment des utilisateurs avertis sur les problèmes de sécurité et de protection de donnes peuvent-ils utilise des logiciels ou services de Google ?
Parce que c'est gratuit ? D'accord, mais ne venez jamais vous plaindre de votre sécurité numérique après...
Ça me fera toujours penser aux fumeurs qui n'assument aucun risque de leur vice en se faisant soigner aux frais de la Sécurité Sociale : minables !

avatar Bobby336 | 

@421
Je pense que parce que pour beaucoup, ceux sont les meilleurs (j'en fait partie).

avatar aleios | 

Merci pour ce commentaire très argumenté et fort intéressant.

avatar Bobby336 | 

De rien.

avatar redchou | 

"Ça me fera toujours penser aux fumeurs qui n'assument aucun risque de leur vice en se faisant soigner aux frais de la Sécurité Sociale : minables !"
- On pourrait en dire de même pour toutes les maladies. Il y a des comportements à risque, mais aussi des prédispositions génétiques, des facteurs environnementaux, et j'en passe...

Un rhume, tu as attrapé froid, arretes de te balader à poil, minable !
Diabètes, tu as trop été au Mc Do, bu de coca, consommer de sucre, minable !
Maladie du foie, trop d'alcool, minable !
Sida, tu as eu des rapports à risque ou t'es toxico, minable !
Une carie, trop de bonbon, mauvaise hygiène dentaire, laves-toi les dents, minable !
la liste est longue... C'est tellement affligent ce genre de caricature que le plus minable dans l'histoire, c'est toi.

En espérant que tu n'utilises ou n'a jamais utilisé de ta vie la Sécurité Sociale, que tu payes toutes tes consultations toi-même parce que tes maladies, c'est de ta faute, minable !

avatar 421 | 

Si tu n'assume pas tes faits et gestes, libre à toi d'en payer les conséquences, cela s'appelle la responsabilité.

avatar Ludavid21 | 

Ha, j'ai paniqué au début, puis je me suis souvenu que j'étais passé sur Firefox. Merci Google

avatar Moonwalker | 

Chrome est un spyware. C'est comme cela depuis le début. Il n'y a rien de changé.

Ce que j'aimerais, c'est lorsqu'il y a des news concernant Chrome, on nous indique si le problème existe aussi avec Chromium ou SRWare. Ils sont censés ne pas installer les mêmes choses.

avatar pat3 | 

@Moonwalker

+1 pour Chrome, l'affaire est entendue!

CONNEXION UTILISATEUR