Chrome et Edge : leur correcteur orthographique fait fuiter vos données

Sécurité

Par Thomas Estimbre le

Les correcteurs orthographiques améliorés de Chrome et Edge partagent vos données personnelles sur les serveurs de Google et Microsoft. Les mots de passe sont également concernés.

Clavier ordinateur
© Unsplash / Sergi Kabrera

Spécialiste en cybersécurité, la société Otto-JS alerte sur les fonctions de vérifications orthographiques améliorées de Chrome et Edge. Ces deux navigateurs très populaires disposent d’outils pour aider l’utilisateur à corriger les fautes d’orthographe ; ou fournir des suggestions de style. Des outils pratiques en apparence qui font fuiter vos mots de passe, comme l’expliquent les chercheurs d’Otto-JS. Dans un billet de blog, ils expliquent que ces fonctions avancées partagent de nombreuses données personnelles sur les serveurs de Google et Microsoft.

Les correcteurs font même fuiter des mots de passe

Toutes les informations saisies dans les formules telles que le nom, prénom, date de naissance, adresse e-mail ou le numéro de sécurité social peuvent transiter vers les serveurs des deux géants américains. Une pratique peu surprenante (voir plus bas), mais qui devient plus inquiétante lorsque les mots de passe sont concernés. Les experts en sécurité affirment que le fait de cliquer sur « Afficher le mot de passe » va permettre au correcteur orthographique amélioré d’envoyer votre mot de passe sur les serveurs de Google et Microsoft. Pour la société, cela « revient à pirater vos données » et elle donne plusieurs exemples.

Cofondateur et directeur technique d’Otto-JS, Josh Summitt a fait cette découverte en testant le comportement des scripts. « Ce qui est inquiétant, c’est la facilité avec laquelle ces fonctions sont activées et le fait que la plupart des utilisateurs les activeront sans vraiment se rendre compte de ce qui se passe en arrière-plan », explique le spécialiste. Une vidéo vient illustrer les propos de l’équipe d’Otto-JS.

La firme publie également des captures d’écran montrant un utilisateur qui tente de se connecter à Alibaba Cloud. On peut voir que son mot de passe est envoyé sur les serveurs de Google ; alors même que ce service n’a rien avoir avec le géant américain. Pour Otto-JS, ce « spell-jacking » peut se révéler dangereux pour les utilisateurs et les entreprises, car ils mettent en péril la confidentialité et la protection des données.

Otto-JS Alibaba
La page de connection à Alibaba Cloud. © Otto-JS

Comment désactiver la fonction de vérification orthographique ?

Le sujet est inquiétant et Otto-JS a fait part de cette découverte à des acteurs majeurs du marché. L’entreprise confie que les équipes en charge de la sécurité d’Amazon Web Services (AWS) ou de LasPass ont déjà pris des mesures « pour atténuer le problème ». Concrètement, elles cherchent à empêcher les correcteurs orthographiques de récupérer des données sensibles.

Otto-JS Alibaba Google
Avec le correcteur orthographique amélioré, les données de connexion d’Alibaba Cloud sont envoyées vers les serveurs de Google. © Otto-JS

Il convient aussi de noter que ces fonctionnalités de vérification orthographique améliorée ne sont pas activées par défaut. Sur Google Chrome, seul le correcteur basique est activé par défaut. Il faut se rendre dans les paramètres du navigateur pour activer cette fonction.

Pour vérifier, il faut d’abord cliquer sur les trois points verticaux situés en haut en droite. Il faut ensuite accéder aux Paramètres, puis se rendre dans Services Google/Synchronisation. Depuis cette fenêtre, vous trouverez Correcteur orthographique amélioré et choisir de l’activer ou désactiver. Notons que Google précise que Chrome lui envoie « le texte que vous saisissez dans le navigateur » pour corriger les fautes d’orthographe.

Sur Edge, l’approche est différente et il faut installer une extension appelée Rédacteur Microsoft pour ajouter cette fonctionnalité. Il faut donc que l’utilisateur décide de l’installer volontairement pour l’activer. Précisons que cela peut dépendre de la version précédente sur votre ordinateur et que l’extension existe aussi pour Chrome.

Cette nouvelle affaire confirme cependant qu’il vaut mieux y réfléchir à deux fois avant d’activer ou d’installer une extension sur son navigateur. Elle ne devrait pas redorer l’image de ces deux géants, membres des GAFAM, réputés gourmands en données personnelles. De son côté, Otto-JS conseille de ne pas afficher le mot de passe.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *