Depuis février 2013, le navigateur Chrome intègre une fonction bien pratique : la reconnaissance vocale. Elle permet à l’internaute d’effectuer des recherches Google à la voix. Des sites tiers peuvent également l’utiliser, par exemple pour faciliter la navigation sur leur site.
Mais cette fonction a également un côté malsain, que vient de révéler le développeur israélien Tal Ater. En bidouillant avec l’interface de programmation Web Speech fournie par Google, il a découvert que la reconnaissance vocale pouvait être activée sans que l’utilisateur ne se rende compte de rien. Et par conséquent, elle peut enregistrer à son insu tout ce qui se dit.
Une fenêtre cachée qui vous écoute
Comment est-ce possible ? Normalement, un internaute doit toujours donner son accord quand un site web lui demande d’activer la reconnaissance vocale. Si tel est le cas, une icône en haut de l’onglet lui indique qu’un enregistrement est en cours. Il lui suffit de cliquer dessus pour l’arrêter. Mais il y a une faille. Lorsque la connexion vers le site en question est chiffrée en HTTPS, Chrome gardera en mémoire la permission accordée et ne la demandera plus lorsque l’utilisateur reviendra sur le site web.
Le problème, c’est qu’il est possible d’activer la reconnaissance vocale dans une fenêtre secondaire qui viendra se cacher en dessous de l’onglet de navigation principale (« pop-under »). Aucune indication graphique ou sonore n’alertera l’internaute qu’un enregistrement est en cours. La fenêtre-espionne pourrait même être déguisée sous la forme d’un bandeau publicitaire. Voici une vidéo qui démontre une exploitation de la faille :
Quand il a découvert cette faille en septembre dernier, Tal Ater a immédiatement contacté les équipes de Google, qui ont développé un patch en l’espace de deux semaines. Mais bizarrement, ce patch n’a toujours pas été diffusé auprès des internautes. Les versions actuelles de Chrome sont donc toujours vulnérables. Contacté à nouveau par le développeur, Google explique que « rien n’a été décidé pour le moment ».
Tal Ater a perdu patience et a décidé de créer un site pour rendre publique cette faille, espérant ainsi faire bouger les choses. Mais pour l’instant, Google ne semble pas vouloir se presser. Contacté par The Verge, le géant du web estime qu’il n’y avait pas de « risque immédiat, dans la mesure où un utilisateur doit d’abord autoriser la reconnaissance vocale pour un site ». Pas de quoi s’énerver, donc…
Lire aussi:
Chrome passe en version 25 et reconnaît désormais la voix de son maître, le 22/02/2013
Chrome réagit désormais aux commandes vocales, sans un clic de souris, le 28/11/2013
Source:
Le site de Tal Ater
Article de The Verge
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
