Les internautes exposés aux écoutes sur Google Chrome

Un développeur dénommé Tal Ater prétend avoir découvert une faille au sein du navigateur Google Chrome. Celle-ci pourrait permettre à des sites piégés d’accéder aux microphones des internautes à leur insu.

Comprenez par là que les propriétaires mal intentionnés de ces sites Internet seraient ainsi en mesure d’espionner les conversation menée à l’aide de ces microphones. Une grave hypothèse surtout lorsque l’on sait l’importance que ces périphériques peuvent avoir dans le cadre de discussions professionnelles via des services comme Skype.

En théorie, pour qu’un site distant, ou toute application SaaS puissent accéder au microphone (ou la webcam) d’un internaute, celui-ci doit être en mesure de donner son accord ou non. Le navigateur Chrome se chargeant d’effectuer la transition des requêtes et des réponses et d’autoriser ou non l’usage du canal audio.

Sauf que Tal Ater a trouvé un moyen de contourner cette procédure. En utilisant une connexion sécurisée HTTPS, le site piégé peut lancer de nouveaux enregistrements audio sans avoir à demander à nouveau l’accord de l’utilisateur. Un indicateur sera toutefois toujours présent pour signaler que le micro est ouvert précise Silicon.fr. Cependant, si le site est fermé par l’internaute, l’enregistrement doit s’arrêter, impossible pour un pirate d’espionner pendant une longue durée. Avec la seconde partie de sa démonstration, Tal Ater démontre pourtant qu’il est possible de maintenir l’écoute même si le site piégé est fermé et ce grâce à l’ouverture d’une fenêtre pop-up, située derrière la fenêtre principale du navigateur. Lorsque l’application web est fermée, le code contenu dans la fenêtre pop-up s’active et reprend l’enregistrement. Aucun indicateur ne prévient alors l’utilisateur, car les fenêtres pop-up n’en affichent pas.

Tal Ater affirme avoir prévenu les ingénieurs de Google en privé dès le 13 septembre 2013. Ces derniers auraient alors travaillé sur une rustine permettant de corriger le problème et qui aurait été testée et validée dès le 24 septembre. Pourtant aujourd’hui les versions officielles de Chrome n’en sont pas dotées et sont toujours vulnérables aux écoutes mal intentionnées. D’après la firme de Mountain View, ce retard serait du à des problèmes pour faire coller cette mise à jour aux standards du Web.

Silicon.fr propose la méthode suivante pour tous les internautes utilisant Chrome et ne souhaitant pas courir de risques. Voici comment procéder : rendez-vous dans le menu « Paramètres », affichez les paramètres avancés (en bas de page), cliquez sur « Paramètres de contenu » (dans la section « Confidentialité »), puis dans la section « Médias » choisissez l’option « Interdire aux sites d’accéder à ma caméra et à mon microphone » et validez.

Quiz : Incollable sur Chrome ?