La vérification orthographique étendue du navigateur Chrome envoie entre autres des mots de passe à Google. Microsoft’s Edge ne le fait pas mieux non plus.
Grâce à la vérification orthographique avancée du navigateur Chrome de Google, il transmet les données de formulaire et, dans certains cas, même les mots de passe de ses utilisateurs à Google. Il en va de même pour Microsoft’s Edge, dont la version actuelle est également basée sur Chrome. Et bien que l’utilisateur doive d’abord activer manuellement cette fonctionnalité, elle pose un risque potentiel élevé pour la confidentialité dont peu d’utilisateurs sont conscients.
L’option « Afficher le mot de passe » rend également le mot de passe visible pour Google et Microsoft
Si vous utilisez l’un des navigateurs Web largement utilisés Chrome ou Edge, vous devez vous attendre à ce que les données du formulaire soient envoyées à Google ou Microsoft si la vérification orthographique étendue est active. Ceux-ci peuvent parfois contenir une grande quantité de données personnelles. Les numéros de sécurité sociale, les noms, les adresses, les coordonnées et les coordonnées bancaires ne sont que quelques-unes des informations sensibles susceptibles d’être affectées, en fonction du site Web et de l’historique des saisies.
Co-fondateur et CTO de la société de sécurité JavaScript otto-js, Josh Summitt a découvert le problème en testant la détection du comportement des scripts de son entreprise. Comme le rapporte la société, certains des plus grands sites Web au monde sont « exposés au risque que Google et Microsoft envoient aux utilisateurs des informations personnelles sensibles, notamment des noms d’utilisateur, des e-mails et des mots de passe lorsque les utilisateurs s’inscrivent ou remplissent des formulaires.«
« Si ‘Afficher le mot de passe’ est activé, la fonctionnalité envoie même votre mot de passe aux serveurs tiers. Lors de la recherche de fuites de données dans différents navigateurs, nous avons trouvé une combinaison de fonctionnalités qui, une fois activées, partagent inutilement des données sensibles avec des tiers comme Google et Microsoft. Ce qui est inquiétant, c’est à quel point il est facile d’activer ces fonctionnalités et que la plupart des utilisateurs activent ces fonctionnalités sans vraiment savoir ce qui se passe en arrière-plan. »
Josh Summitt, directeur technique d’otto-js
L’utilisation de l’option « Montrer le mot de passe« Aucune rareté. Les utilisateurs y recourent souvent lorsqu’ils soupçonnent qu’ils ont fait une faute de frappe, au lieu d’avoir à ressaisir le mot de passe à partir de zéro. Dans son rapport, la société otto-js démontre, en prenant Alibaba comme exemple, comment le navigateur Chrome avec vérification orthographique étendue active peut afficher le contenu des champs du formulaire, y compris le nom d’utilisateur et le mot de passe « googleapis.com » transmis. Ils documentent également leurs découvertes avec une vidéo :
Nécessite l’activation manuelle du correcteur orthographique amélioré dans Chrome et Edge
Contrairement au correcteur orthographique de base qui est activé par défaut dans le navigateur Chrome, l’utilisateur doit activer manuellement le correcteur orthographique avancé. Lorsque la fonction est activée, Chrome indique que le texte saisi sera envoyé à Google. Cependant, très peu d’utilisateurs savent que les mots de passe sont également affectés.
Microsoft, en revanche, implémente sa vérification orthographique et grammaticale un peu différemment. The Edge est un module complémentaire distinct que l’utilisateur doit installer explicitement. Mais ce qu’il advient des données du formulaire une fois qu’elles arrivent enfin chez Google ou Microsoft reste flou pour l’utilisateur.
Désactiver la vérification et un attribut HTML peut aider
Comme le rapporte BleepingComputer, LastPass, qui a récemment attiré l’attention en raison d’un incident de sécurité, a déjà créé une solution pour ses utilisateurs en utilisant l’attribut HTML « correcteur orthographique » du champ mot de passe à la valeur « faux » assis. Cela garantit que le correcteur orthographique du navigateur Chrome ou Edge ne traite pas le champ correspondant. Néanmoins, cela nécessite une intervention active de tous les services en ligne qui fonctionnent avec des formulaires Web.
« Les entreprises peuvent atténuer le risque de partager les informations personnelles de leurs clients en ajoutant l’option ‘spellcheck=false’ à tous les champs de saisie, mais cela peut créer des problèmes pour les utilisateurs. Alternativement, vous pouvez définir cette option uniquement pour les champs de formulaire contenant des données sensibles. Les entreprises peuvent également supprimer la fonctionnalité « Afficher le mot de passe ».
otto-js
Bien sûr, les utilisateurs soucieux de la sécurité peuvent également désactiver complètement la vérification orthographique avancée dans Chrome ou supprimer le module complémentaire correspondant dans Edge.