Chrome : un ensemble de bugs permet d'exploiter le microphone à l'insu de l'internaute

Guillaume Belfiore
Par Guillaume Belfiore, Rédacteur en chef adjoint.
Publié le 22 janvier 2014 à 12h52
Le dispositif de reconnaissance vocale implémenté au sein de Chrome présenterait plusieurs bugs permettant à un site malveillant d'écouter les conversations à l'insu de l'internaute.

006E000007100536-photo-google-chrome-speech-api.jpg
En février 2013, Google publiait une nouvelle version stable de son navigateur Chrome en y ajoutant les interfaces de programmation Speech API permettant à certaines applications Web de s'enrichir de fonctionnalités de reconnaissance vocale. Le développeur Tal Ater, spécialisé dans ce type de technologies et éditeur de la bibliothèque JavaScript annyang, explique avoir repéré plusieurs bugs.

En exploitant ces différents bugs, l'homme a conçu un site Internet classique proposant de créer une liste de tâches simplement en dictant ces dernières. Dans un premier temps, il est nécessaire d'autoriser le site à exploiter le microphone de l'ordinateur. Toutefois, après avoir désactivé cet accès et quitté le site en question, le navigateur, encore ouvert, est toujours capable d'enregistrer les propos de l'internaute au sein d'un pop-up discret ouvert en arrière-plan. De son côté, Chrome n'indique pas que le microphone est toujours actif

M. Ater explique avoir rapporté le problème à Google au 13 septembre 2013. Moins d'une semaine plus tard, les ingénieurs de Google ont identifié cette vulnérabilité et conçu un patch en fin de mois. Toutefois, « le temps passe et le correctif n'a toujours pas été déployé sur les machines des internautes », affirme le développeur. Selon la firme de Mountain View, l'interface de programmation respecte les standards et « rien n'a encore été décidé ». Toutefois, selon Tal Ater en octobre 2012, le W3C aurait déjà défini la marche à suivre pour empêcher ce type de comportement.

Le code source de cet exploit a été publié au sein du répertoire GitHub. Reste à savoir si Google déploiera un correctif dans sa prochaine version stable. Retrouvez ci-dessous une vidéo (en anglais) illustrant l'exploitation de ces bugs :

Guillaume Belfiore
Rédacteur en chef adjoint
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles