Tal Ater, un développeur web, a trouvé plusieurs erreurs dans Chrome quand il travaillait sur la bibliothèque JavaScript appelée « annyang » pour l'API Web Speech intégrée dans le navigateur. Or parmi ces failles, il en a trouvé une qui permet d'accéder au microphone de l'ordinateur alors que l'utilisateur pense que la fonction de reconnaissance vocale est désactivée. Il a donc créé un test où un site web peut continuer à accéder au micro du PC même si l'utilisateur estime qu'il a quitté le site. Le développeur a détaillé sur son site le modus operandi de ce bug. Pour autant, s'il a choisi la mise en avant public, c'est pour dénoncer le peu de réactivité de Google sur ce sujet.
Le développeur explique qu'il a exposé les failles à la firme de Mountain View le 13 septembre dernier. Le 19 septembre, les ingénieurs de Google ont identifié les bugs et suggérer des correctifs. Tal Ater pensait qu'après cela les ingénieurs allaient résoudre le problème en moins de deux semaines. Un mois et demi plus tard, il constate aucun changement et interpelle le géant du web, qui lui répond laconiquement que son API répond aux critères du groupe de standardisation du web (WW3C) et que « rien n'est décidé maintenant ».
Des scénarios catastrophes
Pour Google, il n'y a pas de menace et rappelle que cette fonction de reconnaissance vocale doit demander le consentement de l'utilisateur avant d'être activée. Si tel est le cas, la firme indique que lors de l'activation du microphone, un point rouge apparaît dans un onglet du navigateur. Le développeur ne conteste pas que l'attaque ne fonctionne pas si le consentement n'a pas été donné. Cependant, Tal Alter a constaté que Chrome se souvient si une personne a accordé la permission d'activer le microphone à un site utilisant le protocole HTTPS et peut donc laisser des sites écouter les internautes sans nouvelle approbation de l'utilisateur.
Le développeur a décrit un scénario où un site web malveillant pourrait lancer un pop-up, qui resterait en arrière-plan de la navigation et enregistrer les conversations privées de l'utilisateur. Cette fenêtre peut être camouflée en publicité, elle peut aussi être mise en veille et ne s'activer à l'écoute de mots-clés, selon une vidéo de démonstration sur le site de Tal Ater.
Une faille dans Chrome met sur écoute sans le savoir
1
Réaction
Un développeur a constaté plusieurs bugs dans le navigateur de Google. L'un d'eux permet de laisser la fonction microphone ouverte. Elle donne la possibilité à un site web malveillant d'enregistrer les conversations environnantes. Problème, Google tarde à corriger cette faille.
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
Encore faut-il utiliser la reconnaissance vocale sur son PC, ce qui est loin d'être le cas de la majorité!
Signaler un abus