Chrome : la reconnaissance vocale espionne les utilisateurs à leur insu

Le par  |  2 commentaire(s) Source : Ars Technica
Chrome_logo.GNT

Une faille de conception repérée dans la dernière version en date du navigateur Chrome par un développeur permettrait de lancer un enregistrement sonore sur le PC de l'hôte sans qu'il ne s'en aperçoive.

En février dernier, Chrome profitait d'une mise à jour qui lui permettait d'intégrer un module de reconnaissance vocale visant à simplifier la navigation et les recherches et à favoriser l'interaction entre l'utilisateur et le navigateur.

Uchrome vocalne fonction qui permet également, outre l'écosystème Google, à des sites de proposer une navigation dans leurs menus. Mais aujourd'hui, la découverte d'une faille jette le doute sur le module, puisqu'il peut se présenter comme une véritable porte d'entrée à un espionnage massif.

Ainsi, le développeur Tal Ater a découvert que cette reconnaissance vocale pouvait être activée sans l'accord de l'utilisateur ni sans qu'il ne s'en aperçoive jamais.

Techniquement, l'utilisateur doit toujours donner son accord avant qu'un site web ne puisse activer la reconnaissance vocale et commence à enregistrer les sons provenant de son micro pour proposer la navigation à voix haute. Dans ce cas, une icône apparait au niveau de l'onglet du site en question pour l'informer qu'il est enregistré.

Or, dans le cadre de l'utilisation du module vers un site protégé en HTTPS, Chrome conserve en mémoire les autorisations accordées par l'utilisateur. Il ne sera alors plus demandé la permission d'enregistrer la conversation lorsque ce dernier viendra à nouveau visiter la page Web.

Pire encore, dans le cadre d'une utilisation frauduleuse de la faille, il est possible d'activer la reconnaissance vocale dans une fenêtre secondaire qui se cache automatiquement sous la fenêtre de navigation principale, rendant de ce fait l'enregistrement tout à fait invisible à l'utilisateur.

  

Suite à la découverte, Tal Ater a contacté Google qui aurait développé un patch en urgence qui n'aurait finalement jamais été publié. A ce jour, des millions de navigateurs Chrome sont donc potentiellement menacés de ce type d'espionnage.

Des relances auprès de Google n'ont rien donné, puisque la firme a systématiquement répondu qu'elle n'avait rien décidé pour le moment et qu'elle jugeait la faille suffisamment réduite pour ne pas intervenir : " Il n'y a pas de risque immédiat, dans la mesure où l'utilisateur doit d'abord autoriser la reconnaissance vocale pour un site."

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1635432
ce qui est bien avec les news sécurités, c'est qu'on peut prendre un ton de pucelle effarouchée pour un truc somme toute logique (faire un opt-in sur un site pour la navigation vocale) ou sur une utilisation détournée du bouzin (créer X fenetres dont une aura la NV activée).

Un titre bien putassier et hop, l'article est dans la boite

Un peu de recul c'est une faille de sécurité de plus, pour le moins discutable d'ailleurs.
Le #1635442
"Des relances auprès de Google n'ont rien donné, puisque la firme a systématiquement répondu qu'elle n'avait rien décidé pour le moment et qu'elle jugeait la faille suffisamment réduite pour ne pas intervenir"
=>Ben oui, c'est Google aussi... "it's not a faille it's a feature"...
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]