MacGeneration

Chrome a les oreilles qui traînent

Pierrick Aubert |

Un développeur a découvert une faille dans le système de reconnaissance vocale de Chrome. Il est possible pour certains sites malicieux de suivre les discussions des internautes sans leur consentement.

Lors de la visite d'une page web avec Chrome, la mise en marche du microphone doit être approuvée par l'utilisateur. Après avoir fermé l'onglet ou une page, le microphone est censé se couper. Le développeur Tal Ater a découvert que des sites malveillants pouvaient prolonger l'enregistrement audio par l'intermédiaire de pop-under, des fenêtres qui s'affichent à l'arrière-plan. Contrairement aux pop-up, aucune icône d'état ne signale l'activation du micro et l'enregistrement de données peut se faire tant que le logiciel reste ouvert. De plus, ce mode d'écoute peut rester en veille jusqu'à ce que l'utilisateur prononce certains mot-clés. Démonstration en vidéo :

L'astuce exploitée ici est liée aux autorisations des sites HTTPS. Chrome mémorise lorsqu'un utilisateur donne son accord pour l'activation d'un micro et la question n'est plus posée par la suite. Le problème avec des pop-under est que l'enregistrement peut continuer sans que l'utilisateur ne s'en aperçoive. Tal Ater affirme avoir signalé ce problème à Google en septembre. L'entreprise lui aurait répondu qu'un correctif serait publié en novembre, mais ça n'a pas été le cas.

Dans un communiqué adressé à Ars Technica, la firme de Mountain View a indiqué que la fonction était en conformité avec la norme actuelle du W3C et qu'elle travaillait à l'améliorer. Il faut dans tous les cas que l'utilisateur donne au départ son autorisation pour que cet exploit fonctionne, les risques sont donc relativement limités. En attendant, il est possible de vérifier les sites auxquels vous avez accordé une autorisation en saisissant cette URL dans la barre d'adresse de Chrome : chrome://settings/contentExceptions#media-stream. Les plus méfiants peuvent également couper l'accès au microphone en se rendant dans les paramètres de Chrome (Paramètres > Paramètres avancés > Paramètres de contenu > Interdire aux sites d'accéder à ma caméra et à mon microphone).

Sur iPhone | Sur Android
Accédez aux commentaires de l'article