Chercheurs de la société de sécurité JavaScript otto-jstout en testant la détection des comportements de script, a remarqué quelque chose d’inhabituel : des correcteurs orthographiques améliorés, comme le correcteur orthographique amélioré dans Chrome de Google (désactivé par défaut, doit être activé) ou l’éditeur de Microsoft (un plug-in Edge, doit être installé), envoient des messages potentiellement personnels informations identifiables (PII) aux serveurs de Google et de Microsoft, respectivement.
De plus, si les utilisateurs profitent de l’option « Afficher le mot de passe », les mots de passe eux-mêmes peuvent également être transmis.
Les informations, potentiellement tout ce qui est saisi dans les champs de formulaire pendant que ces correcteurs orthographiques améliorés sont activés, ne sont envoyées que temporairement à Google, a déclaré la société :
« Le texte saisi par l’utilisateur peut être une information personnelle sensible et Google ne l’attache à aucune identité d’utilisateur et ne le traite que temporairement sur le serveur. Pour garantir davantage la confidentialité de l’utilisateur, nous nous efforcerons d’exclure de manière proactive les mots de passe de la vérification orthographique. »
De plus, l’activation du correcteur orthographique amélioré dans Chrome indique que »
Microsoft et Google utilisent tous deux les serveurs de l’entreprise pour effectuer les vérifications orthographiques améliorées, mais ce faisant, ils peuvent ouvrir des vecteurs d’attaque dont les utilisateurs peuvent ne pas être conscients.
Vous pouvez en savoir plus sur les recherches menées par otto-js dans leur article de blog.
