Les correcteurs orthographiques de Google Chrome pourraient exposer vos mots de passe

Si vous aimez être minutieux et utiliser un correcteur orthographique avancé, nous avons de mauvaises nouvelles : vos informations personnelles pourraient être en danger.

L'utilisation de la vérification orthographique étendue dans Google Chrome et Microsoft Edge transmet tout ce que vous saisissez afin qu'il soit vérifié. Malheureusement, cela inclut des informations qui doivent être strictement cryptées, telles que les mots de passe.

Ce problème, signalé pour la première fois par la société de sécurité JavaScript otto-js, a été découvert accidentellement alors que la société testait sa détection des comportements de script. Josh Summitt, co-fondateur et CTO d'otto-js, explique que pratiquement tout ce que vous saisissez dans les champs de formulaire avec le correcteur orthographique avancé est ensuite transmis à Google et Microsoft.

"Si vous cliquez sur 'afficher le mot de passe', le correcteur orthographique amélioré envoie même votre mot de passe, ce qui corrige essentiellement l'orthographe de vos données", a déclaré otto-js dans son rapport . "Certains des plus grands sites Web au monde sont exposés à l'envoi de PII d'utilisateurs sensibles à Google et Microsoft [informations personnelles identifiables], y compris le nom d'utilisateur, l'e-mail et les mots de passe, lorsque les utilisateurs se connectent ou remplissent des formulaires. Une préoccupation encore plus importante pour les entreprises est l'exposition que cela présente aux informations d'identification de l'entreprise de l'entreprise aux actifs internes tels que les bases de données et l'infrastructure cloud.

Beaucoup de gens utilisent « afficher le mot de passe » pour s'assurer qu'ils n'ont pas fait de faute de frappe, donc potentiellement, beaucoup de mots de passe pourraient être à risque ici. Bleeping Computer a testé cela plus avant et a constaté que la saisie de votre nom d'utilisateur et de votre mot de passe sur CNN et Facebook envoyait les données à Google, tandis que SSA.gov, Bank of America et Verizon n'envoyaient que les noms d'utilisateur.

Microsoft Edge et Google Chrome sont tous deux livrés avec des correcteurs orthographiques intégrés qui sont assez basiques. Ces outils ne nécessitent aucune vérification supplémentaire – ce que vous saisissez reste dans votre navigateur. Cependant, si vous utilisez la vérification orthographique améliorée de Chrome ou le vérificateur d'orthographe et de grammaire de l'éditeur de Microsoft, tout ce que vous tapez dans le navigateur est ensuite envoyé respectivement à Google et à Microsoft.

Cela, en soi, n'est pas inattendu. Lorsque vous activez le correcteur orthographique amélioré dans Chrome, le navigateur vous indique que le "texte que vous saisissez dans le navigateur est envoyé à Google". Cependant, beaucoup de gens s'attendraient à ce que cela exclut les PII qui sont souvent soumises dans des formulaires.

La gravité de cela dépend des sites Web que vous visitez. Certaines données de formulaire peuvent inclure des numéros de sécurité sociale et des numéros d'assurance sociale, votre nom complet, votre adresse et vos informations de paiement. Les identifiants de connexion entrent également dans cette catégorie.

Il est compréhensible que vos entrées soient envoyées en dehors du navigateur afin d'utiliser le correcteur orthographique amélioré, mais il est difficile de ne pas se demander à quel point cela est sécurisé lorsque les données personnelles reçoivent également le même traitement.

Comment rester en sécurité

Si vous préférez que vos données personnelles ne soient pas transmises à Microsoft et Google, vous devez cesser d'utiliser le correcteur orthographique avancé pour le moment. Cela signifie désactiver la fonctionnalité dans vos paramètres Chrome. Copiez et collez simplement ceci dans la barre d'adresse de votre navigateur : chrome://settings/?search=Enhanced+Spell+Check.

Pour Microsoft Edge, le correcteur orthographique avancé se présente sous la forme d'un module complémentaire de navigateur, il vous suffit donc de cliquer avec le bouton droit sur l'icône de cette extension dans votre navigateur, puis d'appuyer sur Supprimer de Microsoft Edge .

Google s'est assuré qu'il n'attache aucune identité d'utilisateur aux données qu'il traite pour le correcteur orthographique. Cependant, cela fonctionnera pour exclure complètement les mots de passe. Microsoft a déclaré qu'il enquêterait sur le problème, mais n'a pas encore suivi Bleeping Computer au-delà de cela. Microsoft a actuellement un autre problème avec Edge : les pirates l'utilisent pour lancer une campagne de publicité malveillante .