IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Les correcteurs orthographiques de Chrome et de Edge peuvent entraîner une fuite de mots de passe


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités
    Avatar de Bruno
    Homme Profil pro
    Rédacteur technique
    Inscrit en
    Mai 2019
    Messages
    1 976
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Mai 2019
    Messages : 1 976
    Points : 38 427
    Points
    38 427
    Par défaut Les correcteurs orthographiques de Chrome et de Edge peuvent entraîner une fuite de mots de passe
    Les correcteurs orthographiques de Chrome et de Edge peuvent entraîner une fuite de mots de passe,
    selon Otto-js

    Otto-js, une start-up en sécurité web, révèle dans un billet de blog que les fonctions de vérification orthographique améliorées de Chrome et Edge exposent les mots de passe de ses utilisateurs. Certains des plus grands sites Web du monde sont exposés à l'envoi par Google et Microsoft d'informations personnelles sensibles concernant les utilisateurs, notamment le nom d'utilisateur, l'adresse électronique et les mots de passe.

    Otto JavaScript Security (otto-js) est une start-up spécialisée dans la sécurité des applications côté client, basée à Atlanta, en Géorgie, et disposant de bureaux à Memphis, dans le Tennessee, et à Londres, au Royaume-Uni. Otto-js permet aux ingénieurs de tester, surveiller, détecter et contrôler les vulnérabilités des tiers et le comportement des scripts, en temps réel. Le contrôle de l'accès des tiers aux données sensibles est facile grâce aux outils de test des développeurs côté client, à la protection défensive automatisée, au contrôle dynamique des scripts et à la gestion des politiques.

    Dans le billet de blog rédigé à cet effet, l'équipe de chercheurs en sécurité explique : « Certains des plus grands sites Web du monde sont exposés à l'envoi par Google et Microsoft d'informations sensibles des utilisateurs, notamment le nom d'utilisateur, l'adresse électronique et les mots de passe, lorsque les utilisateurs se connectent ou remplissent des formulaires. Une préoccupation encore plus importante pour les entreprises est l'exposition que cela représente pour les informations d'identification de l'entreprise aux actifs internes tels que les bases de données et l'infrastructure cloud ».

    Nom : MitigB.png
Affichages : 2658
Taille : 42,6 Ko
    1 site web sur 30 atténue


    Il y a un avertissement supplémentaire : Si vous cliquez sur « Afficher le mot de passe », le correcteur orthographique amélioré envoie même votre mot de passe, ce qui revient à pirater vos données. On sait que le problème affecte un certain nombre de sites Web et de services très connus, notamment Office 365, Alibaba Cloud Service et Google Cloud Secret Manager. LastPass et AWS Secrets Manager ont également été touchés, mais ces sociétés ont maintenant mis en place des mesures d'atténuation.

    Josh Summitt, cofondateur et directeur technique d'otto-js, a découvert le problème de sécurité en testant les comportements des scripts. Il explique : Si l'option « Afficher le mot de passe » est activée, la fonctionnalité envoie même votre mot de passe à leurs serveurs tiers. En recherchant des fuites de données dans différents navigateurs, ils auraient trouvé une combinaison de fonctionnalités qui, une fois activées, exposent des données sensibles à des tiers comme Google et Microsoft. Ce qui est inquiétant, c'est la facilité avec laquelle ces fonctionnalités sont activées et le fait que la plupart des utilisateurs les activent sans vraiment se rendre compte de ce qui se passe en arrière-plan.

    Voici, ci-dessous, une vidéo qui illustre les révélations d'Otto :


    Dans cette vidéo, les informations d'identification de la base de données de l'entreprise sont piratées lorsque l'employé passe au compte de services en cloud de l'entreprise et clique sur « Afficher le mot de passe », ce qui montre que le mot de passe est envoyé à Google.

    La vidéo utilise un scénario courant sur le lieu de travail pour illustrer à quel point il est facile d'activer les fonctions de vérification orthographique du navigateur et comment un employé peut exposer l'entreprise sans le savoir. La plupart des RSSI seraient extrêmement inquiets d'apprendre que les informations d'identification administratives de leur entreprise ont été involontairement partagées en clair avec un tiers, même s'il s'agit d'un tiers de confiance.

    Walter Hoehn, vice-président de l'ingénierie d'otto-js, fait remarquer que « l'un des aspects les plus intéressants de ce type d'exposition est qu'elle est causée par l'interaction involontaire entre deux fonctionnalités qui, isolément, sont toutes deux bénéfiques aux utilisateurs. Les fonctions de vérification orthographique améliorées de Chrome et d'Edge constituent une avancée considérable par rapport aux méthodes par défaut basées sur les dictionnaires. De même, les sites Web qui offrent la possibilité d'afficher les mots de passe en clair sont plus faciles à utiliser, notamment pour les personnes handicapées. C'est lorsqu'ils sont utilisés ensemble que l'exposition réelle des mots de passe se produit. »

    Josh Summit a détecté ce défaut en effectuant des tests. Il a constaté que 73 % de ces sites et groupes transmettent les données à un tiers. Toutefois, les données du formulaire sont censées être transmises en toute sécurité via HTTPS. Google s'efforce d'assurer le bien-être de sa communauté en supprimant la fonction de vérification orthographique. Pour l'instant, nous pouvons mettre hors service cette fonction de vérification orthographique améliorée en allant dans les paramètres et en la désactivant.

    Nom : mitig2B.png
Affichages : 1927
Taille : 40,2 Ko
    73 % ont envoyé un mot de passe aux utilisateurs


    Si la fonction de vérification orthographique de google indique explicitement que le texte que vous tapez dans le navigateur est envoyé à google, il est toutefois précisé que Google ne transfère pas les données à un tiers, mais les traite temporairement sur le serveur. Google travaille de manière proactive pour supprimer le mot de passe du correcteur orthographique afin de garantir la sécurité des opérateurs. Il est dit qu'AWS et LastPass ont tous deux atténué le problème en demandant simplement à leurs utilisateurs de mettre l'attribut HTML spellcheck=false.

    Cette fonction empêche le vérificateur d'orthographe de détecter la connexion par défaut du navigateur Web. La plupart des entreprises peuvent également empêcher le spell jacking en supprimant simplement la possibilité d'afficher les mots de passe. Bien que la vérification orthographique puisse être possible même après la suppression de cette fonctionnalité, celle-ci pourrait empêcher l'envoi des mots de passe.

    Voici, ci-dessous, une vidéo qui montre comment désactiver la fonction vérification orthographique :


    Notons que les fonctionnalités de vérification orthographique améliorée ne sont pas le paramètre par défaut, mais une fois activées, elles le resteront jusqu'à ce qu'elles soient désactivées.

    Otto propose d’installer ses extensions Chrome gratuites pour recevoir des alertes lorsque vous vous trouvez sur un site web présentant un risque de fuite de données dû à la vérification orthographique. Pour les utilisateurs qui dépendent de ces fonctionnalités, cette option permet de les laisser activées, mais d'être rappelé lorsque qu’ils se trouvent sur une page où ils risquent de saisir des données sensibles. Les deux applications fournissent des alertes et des conseils rapides pour les désactiver.

    À ce jour, personne ne sait pas si les données sont stockées et, dans l'affirmative, qui gère la sécurité des données collectées par les fonctions de vérification orthographique améliorée. On ne sait pas non plus si les données sont gérées avec le même niveau de sécurité que les données sensibles connues, comme les mots de passe, ou si elles sont gérées par une équipe produit, comme des métadonnées permettant d'affiner les modèles.

    Selon Otto, bien que Google et Microsoft soient tous deux des entreprises de confiance, les mots de passe sont censés être un secret que vous partagez avec la personne à qui vous les destinez, et personne d'autre. Un secret partagé doit être haché et irréversible, mais cette fonctionnalité viole un principe de sécurité fondamental et pourrait être considérée comme une violation de la vie privée.

    Source : Otto-JS

    Et vous ?

    Que pensez-vous de cette révélation sur la fuite de mot de passe ? Est-elle pertinente ?

    Quelle solution proposez-vous ?

    Voir aussi :

    LastPass, le gestionnaire de mots de passe, confirme que les pirates ont eu un accès interne à son système, pendant quatre jours

    Des versions trojanisées de l'utilitaire PuTTY sont utilisées pour propager des backdoors, par des cybercriminels ayant des liens avec des pirates soutenus par le gouvernement nord-coréen

    Les lacunes en matière de sécurité du cloud exposent les actifs critiques de l'entreprise en seulement trois coups, selon un rapport d'Orca Security

    Uber : un cadre accusé d'avoir déguisé une extorsion de données en « prime de bug », en signant des accords de non-divulgation pour recevoir 100 000 dollars en bitcoins

  2. #2
    Expert éminent Avatar de kain_tn
    Homme Profil pro
    Inscrit en
    Mars 2005
    Messages
    1 714
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations forums :
    Inscription : Mars 2005
    Messages : 1 714
    Points : 8 023
    Points
    8 023
    Par défaut
    Citation Envoyé par Bruno Voir le message
    Selon Otto, bien que Google et Microsoft soient tous deux des entreprises de confiance, les mots de passe sont censés être un secret que vous partagez avec la personne à qui vous les destinez, et personne d'autre. Un secret partagé doit être haché et irréversible, mais cette fonctionnalité viole un principe de sécurité fondamental et pourrait être considérée comme une violation de la vie privée.
    Sur le plan des données personnelles, les GAFAM ne sont pas des entreprises de confiance, non.

    D'autre part, on ne sait pas vraiment qui a accès aux fichiers temporaires chez Microsoft et Google. Ce n'est peut-être pas considéré comme des fichiers sensibles, d'autant plus si ce "vol" de mot de passe n'était pas une fonctionnalité prévue.

  3. #3
    Expert confirmé Avatar de Zefling
    Homme Profil pro
    Développeur Web
    Inscrit en
    Avril 2007
    Messages
    1 203
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Avril 2007
    Messages : 1 203
    Points : 4 836
    Points
    4 836
    Par défaut
    Perso, j'utilise pas Chrome et Edge parce qu'ils ne sont pas open source et font des trucs sur les serveurs sous prétexte de, mais il faut juste les croire sur parole, et pour moi leur parole ne vaut pas grand-chose aujourd'hui.

    En tout cas, je vais mettre spellcheck=false sur tous les champs password.

    Pour la grammaire, ça, c'est très bien : https://grammalecte.net/

  4. #4
    Membre expert
    Profil pro
    programmeur du dimanche
    Inscrit en
    Novembre 2003
    Messages
    895
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : programmeur du dimanche
    Secteur : Santé

    Informations forums :
    Inscription : Novembre 2003
    Messages : 895
    Points : 3 838
    Points
    3 838
    Par défaut
    Que pensez-vous de cette révélation sur la fuite de mot de passe ? Est-elle pertinente ?
    Non mais on croirait une blague. Sérieusement, google et microsoft exfiltrent en douce les mots de passe et le login, sans nul doute en toute connaissance de cause, et ensuite en tant qu'entreprise sous droit américain, ils doivent les donner sur demande au renseignement économique.

    Quelle sera leur excuse ? "Ah, c'est la faute de l'interne" "Ah, on n'a pas pensé aux mots de passe en collectant tous les champ..." ?

  5. #5
    Invité
    Invité(e)
    Par défaut
    Bonsoir

    Les correcteurs orthographiques de Chrome et de Edge peuvent entraîner une fuite de mots de passe, selon Otto-js

    Que pensez-vous de cette révélation sur la fuite de mot de passe ?
    Pas étonnant je dirais. D'ailleurs dans Chrome il est possible de voir à un moment les mdp en clair , en allant dans le gestionnaire de mdp .

    Est-elle pertinente ?
    Oui comme expliqué plus. D'ailleurs il était necessaire de douter d'une faille de ces gestionnaires de mdp à un moment ou un autre.

    Quelle solution proposez-vous ?
    Ne pas stocker les mdp sur un gestionnaire de mdp comme Edge ou Chrome. A croire que le bon vieux tableau word / excel / .txt / .csv est plus secure

  6. #6
    Membre expert
    Profil pro
    programmeur du dimanche
    Inscrit en
    Novembre 2003
    Messages
    895
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : programmeur du dimanche
    Secteur : Santé

    Informations forums :
    Inscription : Novembre 2003
    Messages : 895
    Points : 3 838
    Points
    3 838
    Par défaut
    Citation Envoyé par sanderbe Voir le message
    D'ailleurs dans Chrome il est possible de voir à un moment les mdp en clair , en allant dans le gestionnaire de mdp .

    Oui comme expliqué plus. D'ailleurs il était necessaire de douter d'une faille de ces gestionnaires de mdp à un moment ou un autre.

    Ne pas stocker les mdp sur un gestionnaire de mdp comme Edge ou Chrome. A croire que le bon vieux tableau word / excel / .txt / .csv est plus secure
    Il faut regarder la vidéo de l'article. Le gestionnaire de mots de passe n'est pas impliqué, mais plus généralement tout mot de passe saisi dans le navigateur est envoyé dans une requête POST.

  7. #7
    Membre expert
    Homme Profil pro
    Inscrit en
    Octobre 2011
    Messages
    2 907
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : Octobre 2011
    Messages : 2 907
    Points : 3 741
    Points
    3 741
    Par défaut
    Salut,

    Mais ce problème concerne aussi tous les éditeurs web comme celui utilisé dans ce présent forum, non ?



    Sinon dans la vidéo, comment ils ont fait pour voir ce qui était envoyé ? Quel est ce logiciel qu'il utilisent ?

    J'ai essayé avec wireshark, on voit les requêtes vers googleapis.com mais le contenu est crypté !

Discussions similaires

  1. Réponses: 2
    Dernier message: 19/02/2022, 22h08
  2. Texmaker et les correcteurs orthographiques
    Par sauber89 dans le forum Editeurs / Outils
    Réponses: 1
    Dernier message: 16/11/2006, 14h46
  3. Utiliser les fichiers de syntaxe pour le correcteur orthographique avec vim
    Par karmaki dans le forum Applications et environnements graphiques
    Réponses: 2
    Dernier message: 11/08/2006, 07h01
  4. Correcteur orthographique
    Par MistyBack dans le forum WinDev
    Réponses: 2
    Dernier message: 30/06/2005, 09h52

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo