Les fonctionnalités avancées de vérification orthographique de Google Chrome et Microsoft Edge peuvent causer des problèmes aux utilisateurs. Les chercheurs d’otto-js ont découvert que Enhanced Spellcheck dans Chrome et MS Editor dans Edge pouvaient divulguer par inadvertance des informations sensibles à des tiers tels que les serveurs Google et Microsoft.
otto-js, une société de sécurité JavaScript, a constaté que ces fonctionnalités de vérification orthographique étendue peuvent se faire au détriment de la confidentialité des utilisateurs. Les deux peuvent envoyer des données de formulaire / champ, y compris des informations personnellement identifiables (PII), à Google et Microsoft. De manière inquiétante, ils présentent également un risque de détournement de sorts, c’est-à-dire d’exposition des informations d’identification si les utilisateurs cliquent sur afficher le mot de passe.
Les utilisateurs doivent nécessairement activer les fonctionnalités de vérification orthographique étendues et non de base disponibles dans Chrome et Edge. Les IPI à risque incluent les noms des utilisateurs, les identifiants de messagerie, les dates de naissance, les numéros de sécurité sociale ou tout autre élément qu’ils saisissent dans les champs lorsque la vérification orthographique étendue est activée.
Les chercheurs d’otto-js ont découvert cette faille de sécurité en testant la détection des comportements de script de l’entreprise. Josh Summitt, co-fondateur et CTO d’otto-js, a déclaré: « Ce qui est préoccupant, c’est la facilité avec laquelle ces fonctionnalités sont activées et le fait que la plupart des utilisateurs activeront ces fonctionnalités sans vraiment se rendre compte de ce qui se passe en arrière-plan. »
La société a testé plus de 50 sites Web dans différents groupes de contrôle dans les services bancaires en ligne, les outils de bureau en nuage, le gouvernement des soins de santé, les médias sociaux et le commerce électronique, dont 96,7% ont divulgué des informations personnelles à Google et Microsoft via Enhanced Spellcheck dans Chrome et MS Editor dans Edge. De plus, un peu plus de 73% des sites Web testés ont envoyé des mots de passe à Google et Microsoft.
Les chercheurs ont mis en évidence les cinq plus grands sites Web: Office 365, Alibaba Cloud Service, Google Cloud Secret Manager, AWS Secrets Manager et LastPass. Ces deux derniers ont atténué le problème au moment d’écrire ces lignes.
Le fait que les informations d’identification puissent être exposées met en péril l’infrastructure cloud d’une entreprise, y compris les serveurs, les bases de données, les comptes de messagerie d’entreprise et les gestionnaires de mots de passe. « L’une des choses les plus intéressantes à propos de ce type d’exposition est qu’elle est causée par l’interaction involontaire entre deux fonctionnalités qui sont, isolément, toutes deux bénéfiques pour les utilisateurs », a déclaré Walter Hoehn, vice-président de l’ingénierie chez otto-js.
La société a partagé une vidéo de démonstration de détournement de sorts sur AWS Secrets Manager en appuyant sur afficher le mot de passe sur Chrome et Edge :
Des tests effectués sur des sites Web en dehors des groupes témoins ont révélé que du contenu pour adultes et des agences d’évaluation du crédit divulguaient des informations personnelles. Cependant, les sites pornographiques étaient relativement plus sûrs car ils n’avaient pas le afficher le mot de passe option.
Que peuvent faire les utilisateurs pour empêcher le détournement de sorts sur Chrome et Edge ?
Dans Chrome, la vérification orthographique est activée par défaut, mais la vérification orthographique améliorée doit être activée. Microsoft Editor est disponible en tant que module complémentaire pour Edge. Ainsi, garder les paramètres Chrome pour la vérification orthographique améliorée par défaut et ne pas installer Editor dans Edge devrait atténuer le détournement de sorts.
Pour vérifier si la vérification orthographique améliorée est désactivée dans Chrome, cliquez sur les points de suspension verticaux dans le coin supérieur droit d’une fenêtre Chrome > Paramètres > Langues > Vérification orthographique. Désactivez-le complètement ou sélectionnez le bouton radio à côté de « Vérification orthographique de base ».
Cependant, les sites Web peuvent atténuer le problème en mettant à jour le code HTML et en ajoutant « spellcheck=false » à tous les champs de saisie ou uniquement pour les champs sensibles. « Les entreprises peuvent également supprimer la possibilité d’afficher le mot de passe. Cela n’empêchera pas le détournement de sorts, mais cela empêchera l’envoi de mots de passe utilisateur. »
Faites-nous savoir si vous avez aimé lire cette nouvelle sur LinkedIn (en anglais seulement), Gazouillerou Facebook (en anglais seulement. Nous aimerions avoir de vos nouvelles!
