Un nouvel avertissement pour des milliards d’utilisateurs de Google Chrome, car le navigateur est exposé à collecter des données téléphoniques très sensibles sans que les utilisateurs s’en rendent compte. Ce dernier cauchemar en matière de confidentialité devrait vous donner une raison de supprimer Chrome sur votre téléphone.
Le mois dernier, L’application de Facebook a été exposée en suivant les mouvements des utilisateurs d’iPhone, puisant dans l’accéléromètre de l’appareil à tout moment. Facebook est le collecteur de données le plus gourmand au monde, et ces informations sensibles peuvent être utilisées pour surveiller les comportements, en lien avec la quantité extraordinaire de données qu’il collecte.
Mais Facebook n’est pas le collecteur de données le plus performant au monde, ce prix revient à Google. Contrairement à Facebook, qui a été durement touché par les dernières mesures de confidentialité d’Apple, les revenus publicitaires numériques de Google continuent de monter en flèche. La réalité est que si Facebook/Meta agit comme un paratonnerre, Google est la menace bien plus grande pour votre vie privée.
Alors que Facebook collectait ces informations pour lui-même, Chrome est heureux de les collecter pour d’autres, ce qui permet essentiellement un accès gratuit à tous lorsqu’il s’agit d’informations extrêmement sensibles sur chacune de vos activités, chacun de vos comportements.
Le chercheur Tommy Mysk prévient que « le capteur de mouvement est accessible par défaut à tous les sites Web sous Android/Chrome, [whereas] Safari/iOS protège l’accès par une autorisation. Ce qui est bien pire, cependant, c’est que Chrome le fait même lorsqu’il est configuré en mode navigation privée ou « incognito ». Comment ça peut aller ?
« La façon dont Android gère l’accéléromètre est bien pire [than Facebook] », m’a dit Mysk. « Les applications peuvent même le lire en arrière-plan. Mon équipe a mis en place une fonctionnalité de podomètre dans notre application. L’application compterait les étapes même si l’application ne fonctionnait pas du tout. Parce que la logique était un service d’arrière-plan qui fonctionnait tout le temps.
En réponse à la recherche sur la sécurité, Google m’a dit que « nous limitons intentionnellement la résolution des capteurs de mouvement dans Chrome, et depuis 2019, nous avons des contrôles qui permettent aux utilisateurs d’empêcher complètement les sites Web d’accéder aux capteurs de mouvement d’un appareil. Nous prenons la sécurité des utilisateurs et la confidentialité au sérieux, et nous travaillons toujours sur de nouvelles façons d’améliorer la sécurité et la confidentialité dans Chrome. »
Mais ce sont des données que Chrome met à la disposition de tout site qui le demande, par défaut. Apple amélioré son la sécurité et la confidentialité en bloquant ces données et en imposant une autorisation spécifique et limitée dans le temps à chaque fois qu’elle est demandée. C’est comme ça que c’est fait, Google.
J’ai déjà mis en garde contre les terribles risques de confidentialité de Chrome. En termes simples, avec Chrome, Google fonctionne des deux côtés de la barrière lorsqu’il s’agit de votre navigation. Fournir l’infrastructure de recherche et de publicité numérique dans les coulisses, tout en contrôlant le navigateur frontal que vous utilisez. Récolter essentiellement vos données aux deux extrémités.
Ce problème est exacerbé par la philosophie de Google en matière de confidentialité. En d’autres termes, vous êtes un produit à monétiser pour générer d’énormes niveaux de rentabilité. Vos comportements peuvent être suivis sur plusieurs plateformes et services, et ces informations peuvent être utilisées pour piloter la plateforme d’influence la plus précieuse au monde.
Le récent retour en arrière sur FLoC, où Google a admis «accidentellement« Permettre de suivre secrètement des millions d’utilisateurs vous dit tout ce que vous devez savoir. Ensuite, il y a la messagerie mixte en cours sur la navigation privée, ainsi que la valeur par défaut permettant de signaler l’inactivité des utilisateurs. Google Chrome est une mauvaise nouvelle sur le plan de la confidentialité. Période.
« Google a déclaré son intention de trouver un moyen de placer des annonces de manière à préserver la confidentialité », m’a dit récemment Mozilla, « mais ces plans continuent d’être retardés », tandis que leurs fonctionnalités « suivent les personnes et permettent de nouveaux cas d’utilisation des annonces ».
Introduction du Webkit d’Apple, qui restreint les comportements de Safari et d’autres navigateurs fonctionnant sur les iPhones autorisations spécifiques pour l’accès à l’accéléromètre avec Safari 13 en 2019. Cela fait suite à des recherches exposant la même exploitation d’un tel accès sans autorisation par les sites Web mobiles que Chrome sur Android permet toujours.
Ces chercheurs trouvé que les sites Web mobiles exploitaient les capteurs des appareils «à des fins autres que celles prévues par l’organisme de normalisation du W3C. Nous avons constaté qu’une grande majorité de scripts tiers accèdent aux données de capteurs pour mesurer les interactions publicitaires, vérifier les impressions publicitaires et suivre les appareils. Notre analyse a découvert plusieurs scripts qui envoient des données brutes de capteurs à des serveurs distants. »
Cette recherche, m’a dit Mysk, « a poussé Apple à protéger Safari sur iOS… Je ne sais pas pourquoi Google n’a pas appliqué des mesures similaires ». Étant donné que la recherche a fait référence à la diffusion et à la mesure des publicités comme un objectif central pour les capteurs d’écoute, nous pouvons tenter de deviner pourquoi.
Alors qu’Apple désactive l’accès au capteur de mouvement par défaut, Google permet non seulement cet accès, mais malgré les avertissements précédents, il indique également aux utilisateurs qu’il s’agit d’un paramètre « recommandé » à conserver activé. La différence entre Apple et Google ne pourrait pas être plus frappante. L’ironie, bien sûr, c’est que vous êtes plus sûr d’utiliser Chrome sur un iPhone que sur Android, car Apple bloque ce type de collecte de données pour tous navigateurs.
En tant que développeur sur le Discussion sur le chrome sur ce paramètre demande : « Pourquoi l’autorisation du capteur de mouvement serait-elle une paire autorisation/demande au lieu d’une paire demande/blocage ? Est-ce juste pour que Chrome puisse autoriser par défaut ? Peu de sites en dehors de Maps ont besoin des API de capteur de mouvement. Je l’ai désactivé et c’est toujours surprenant de voir un site utiliser des capteurs de mouvement.
Si fournir des données de capteurs de mouvement aux sites Web était une exigence réelle, si populaire qu’elle justifie d’être activée par défaut, alors les utilisateurs d’iPhone auraient été inondés ces dernières années avec cette demande d’autorisation. Mais ils ne l’ont pas fait. La plupart ne l’auront jamais vu. Pas une fois.
Vous pouvez désactiver l’accès aux capteurs de mouvement de votre téléphone dans Chrome sur Android dans les paramètres du site, mais vous verrez que Google recommande de le laisser activé.
La réalité est que si Apple contre Facebook a fait la une des journaux, le fabricant de l’iPhone a sans doute fait plus pour révéler les infractions à la vie privée de Google que quiconque. Et pendant tout ce temps, Android joue à un jeu de rattrapage lent avec les innovations de confidentialité plus médiatisées qu’Apple introduit avec ses mises à jour iOS. Mais ensuite, nous trouvons ces problèmes cachés qui n’ont pas encore fait les gros titres et qui restent des problèmes.
Google met l’accent sur les paramètres qu’il propose pour modifier les paramètres par défaut : pour restreindre le suivi de localisation dans votre compte, pour désactiver la surveillance du temps que vous passez loin de votre appareil, pour désactiver les nouvelles fonctionnalités de suivi du bac à sable de confidentialité, pour arrêter le suivi intersites, pour désactiver les tiers -cookies de fête, pour bloquer la détection de mouvement du téléphone. Mais il y a un thème : tout est activé hors de la boîte à moins que vous ne le trouviez activement et que vous le changiez. Rien n’est privé par défaut. Et c’est déplorable du point de vue de la vie privée.
Oui, sur Android, vous pouvez trouver et désactiver le capteur de mouvement. Mais il n’est pas acceptable de s’en remettre aux utilisateurs qui modifient de manière proactive les paramètres pour protéger la confidentialité de base. Apple et d’autres ajoutent désormais de telles mesures par défaut. En réalité, très peu d’utilisateurs connaissent ces problèmes et encore moins suivront les menus en plusieurs étapes pour modifier les paramètres système de base. Cela est particulièrement vrai lorsque Google marque ces paramètres comme « recommandés ».
Nous attendons maintenant FLoC V2, car Privacy Sandbox de Google continue de rechercher une solution impossible pour protéger la confidentialité des utilisateurs sans compromettre la monétisation des données des utilisateurs. Mon conseil est de ne pas attendre et d’opter pour un navigateur alternatif. Sur Apple, vous devez utiliser Safari, et sur Android et d’autres plates-formes non Apple, Firefox est une bien meilleure option, si vous ne voulez pas opter pour la confidentialité DuckDuckGo ou Brave.
Apple a ouvert la voie avec Safari en optant par défaut pour des options axées sur la confidentialité prêtes à l’emploi. Sa dernière innovation, Private Relay, rompt le lien entre les identités des utilisateurs et les sites Web, sapant essentiellement la base fondamentale des trackers Web. Google ne pourrait jamais suivre leur exemple, cela nuirait gravement à son modèle économique.
Chrome est isolé en tant que seul navigateur majeur qui n’a pas encore agi pour arrêter le suivi intersites, le seul navigateur (illustré par les étiquettes de confidentialité d’Apple lorsqu’il est utilisé sur iOS) qui collecte de grandes quantités de données, qui renvoient toutes aux identités des utilisateurs, le seul navigateur majeur qui a poussé FLoC, malgré de nombreux avertissements de confidentialité. Sur Android, vous pouvez supprimer Chrome en désactivant le navigateur de stock dans vos paramètres.
« La règle de base en matière de sécurité de l’information » Mysk met en garde, « est-ce que les informations privées doivent être protégées. L’accès à l’accéléromètre doit être protégé.
Chrome est le navigateur le plus populaire au monde, contrôlé par le plus grand géant de la publicité numérique au monde, par l’entité qui contrôle 75 % du suivi Web. Les maths sont simples. Tant que les utilisateurs ne feront pas de choix qui accordent la priorité à la confidentialité, nous ne pouvons pas nous attendre à ce que quoi que ce soit change.
.