Accéder au contenu principal

Chrome écoute les utilisateurs… à leur insu

Des sites piégés peuvent vous écouter à votre insu, à travers le navigateur web Google Chrome. Explication de la méthode employée et détails sur le façon de se protéger en attendant le correctif que tarde à livrer Google.
Le développeur Tal Ater a mis le doigt sur un défaut grave dans le système d’accès au microphone de Google Chrome, qui permet à un site piégé d’écouter toutes vos conversations.
Normalement, la méthode pour utiliser le microphone de l’internaute est bien balisée : ce dernier doit donner son accord, puis le canal audio est ouvert. Un indicateur permet de savoir quel onglet est en train d’enregistrer du son. Dans l’absolu, cette technique permet d’éviter tout abus.

Trois étapes pour une écoute

Sauf que Tal Ater a trouver un moyen de contourner cette procédure. L’astuce utilisée met en œuvre plusieurs éléments. Tout d’abord, le site piégé utilise une connexion sécurisée (en HTTPS). Ceci permet de lancer de nouveaux enregistrements sans avoir à redemander l’accord de l’utilisateur et sans action de sa part. Un indicateur sera toutefois toujours présent pour signaler que le micro est ouvert.
Seconde partie de l’astuce, l’ouverture d’une fenêtre pop-up, située derrière la fenêtre principale du navigateur. Lorsque vous arrêtez d’utiliser l’application web (en coupant le micro ou en fermant son onglet), le code contenu dans la fenêtre pop-up s’active et reprend l’enregistrement. Aucune indicateur ne prévient alors l’utilisateur, car les fenêtres pop-up n’en affichent pas.
Troisième partie de l’astuce développée par Tal Ater : l’utilisation d’outils de reconnaissance vocale pour traduire les paroles en texte (ici, la librairie aanyang créée par le développeur). Le texte apparaît dans la fenêtre ; si l’utilisateur la découvre, l’arnaque sera alors détectée. Solution, cacher le texte derrière un autre élément, par exemple une image simulant une fenêtre publicitaire. Tant que la fenêtre pop-up piégée n’est pas fermée, l’enregistrement se poursuit.

Google tarde à combler la faille

Alertés en privé le 13 septembre 2013, les ingénieurs de Google ont trouvé un correctif dès le 24 septembre. Toutefois, plus de quatre mois après, les versions officielles de Chrome ne corrigent toujours pas ce défaut. L’excuse donnée par la firme est que son équipe chargée de faire coller le navigateur aux standards du web tarde à déterminer quelle parade appliquer.
Tal Ater précise toutefois que le W3C a suggéré une méthode qui permet d’éviter l’utilisation de telles techniques dès octobre 2012. Difficile dans ce contexte d’expliquer pourquoi Google tarde tant…
Plus de détails sur l’exploitation cette faille se trouvent sur une page dédiée du site de Tal Ater.

Coupez le micro !

Nous vous proposons une solution permettant de se prémunir de sites piégés qui utiliseraient cette technique. Dans l’attente d’un correctif, la seule option reste de couper l’accès au microphone au sein de Google Chrome.
Voici comment procéder : rendez-vous dans le menu « Paramètres », affichez les paramètres avancés (en bas de page), cliquez sur « Paramètres de contenu » (dans la section « Confidentialité »), puis dans la section « Médias » choisissez l’option « Interdire aux sites d’accéder à ma caméra et à mon microphone » et validez.
source : http://www.silicon.fr/chrome-ecoute-les-utilisateurs-leur-insu-92239.html?utm_source=2014-01-24&utm_medium=email&utm_campaign=siliconfr_daily&id_prob=21001_80707

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

BYOD, cloud, reseaux sociaux ..... attention à la sécurité

De plus en plus de collaborateurs utilisent leurs appareils personnels en entreprise et se connectent au cloud et aux réseaux sociaux dans un contexte professionnel. Comment garantir la sécurité de ces nouveaux usages ? Mauro Israel, consultant formateur Demos et responsable du pôle audit sécurité et tests d’intrusion chez Fidens, dresse la liste des risques et donc des bonnes pratiques à adopter. Les nouveaux usages remettent en question les modèles classiques de protection des systèmes d’information et des infrastructures réseaux et télécoms.     ● Facebook, Twitter, Linkedin, Viadeo… Vous le savez, les réseaux sociaux ont envahi notre quotidien, privé comme professionnel.     ● L’utilisation des smartphones et des tablettes explose en France : en 2012, en moyenne, 29 % des Français étaient ainsi équipés d'un smartphone et 8 % d'une tablette (+ 12 points chez les cadres supérieurs et + 11 points chez les revenus les plus élevés en un an).     ● C...
Enregistrer un commentaire
Lire la suite

Une faille Windows exploitée par la Russie

Une vulnérabilité critique a été détectée dans Windows. Selon un cabinet de sécurité informatique, cette brèche est exploitée depuis plusieurs années par les autorités russes pour espionner des cibles comme l'OTAN, la Pologne ou encore l'Ukraine. Un opérateur télécoms français est aussi concerné. C'est une découverte qui ne devrait pas améliorer les relations entre l'Occident et la Russie, qui sont déjà fortement tendues à cause de la crise ukrainienne. Selon la firme  iSight Partners , dont la spécialité est la sécurité informatique, la Russie a exploité pendant des années une faille critique dans Windows pour espionner de nombreuses cibles en Europe et aux États-Unis. Cette vulnérabilité affecte toutes les versions de Windows à partir du second Service Pack de Vista. Même la toute dernière déclinaison du système d'exploitation, Windows 8.1, est touchée. Par ailleurs, elle a été aussi détectée dans les versions 2008 et 2009 de Windows Server. Il s'ag...
Enregistrer un commentaire
Lire la suite

LA SÉCURITÉ IT D’ADOBE BATTUE EN BRÈCHE

Des millions de codes d’accès de comptes utilisateurs évaporés, diffusion incontrôlée de codes sources de produits…Adobe traverse une passe difficile, qui nécessiterait un examen de conscience. Facebook  préfère prendre les devants tant la brêche de  sécurité IT  chez  Adobe  a été énorme. Le réseau social a demandé à ses membres utilisant la même combinaison de codes d’accès (identifiant et mot de passe) de modifier leur formule.  Si vous avez été affecté,  laissez-nous votre témoignage dans les commentaires. C’est une mesure de précaution prise par le réseau social afin d’éviter des éventuels dégâts collatéraux c’est à dire des accès frauduleux sur la plateforme communautaire en empruntant des profils piratés via Adobe. Interrogé sur le blog  KrebsOnSecurity , Jay Nancarrow, porte-parole de Facebook, a confirmé cette mesure, sans toutefois indiquer le nombre de membres du réseau social contactés dans ce sens. « Nous restons vig...
Enregistrer un commentaire
Lire la suite