Depuis 2012, Google Chrome propose une API Gamepad qui, comme son nom l'indique, permet aux applications web et aux jeux d'accéder aux manettes de jeu physiques connectées à un ordinateur. Malheureusement, il semblerait que des personnes malintentionnées puissent s'en servir pour pister des utilisateurs en ligne et siphonner leurs données. Le géant de Mountain View a annoncé mettre en place de nouvelles restrictions pour protéger ses utilisateurs.
Des mesures similaires avaient été prises par Mozilla avec Firefox 81, une version parue en septembre 2020. L'API existe par ailleurs sur Safari, ce qui permet à chacun d'utiliser son iPhone ou iPad avec des services comme GeForce Now ou Google Stadia sans application App Store.
Plus de sécurité par défaut sur Chrome
Le fonctionnement de l'API Gamepad est relativement simple sur tous les navigateurs. Elle consiste à donner un identifiant unique pour chaque manette de jeu branchée sur son ordinateur. Ainsi, Chrome reçoit une liste d'informations depuis des boutons et des axes (joysticks, croix directionnelle). Toutes ces données peuvent être collectées (sous certaines conditions), et c'est ce qui inquiète Google. Avec un accès à ces dernières, un individu malintentionné serait en mesure de suivre quelqu'un via son empreinte numérique (ou fingerprinting).
Les mesures annoncées par Google ressemblent beaucoup à ce qu'avait communiqué Mozilla pour son navigateur Firefox, il y a quasiment deux ans. Premièrement, l'API ne fonctionnera pas sur les sites qui ne sont pas en HTTPS, c'est-à-dire une combinaison du HTTP avec une couche de chiffrement comme SSL ou TLS. Nous vous rappelons qu'il est d'ailleurs recommandé de cocher une option du navigateur pour toujours mettre à niveau les navigations en HTTPS. Elle se situe dans Confidentialité et sécurité > Sécurité > Paramètres avancés.
La deuxième piste de réflexion pour Chrome est un comportement différent de l'API dans certaines intégrations (embed). On ne sait pas encore comment cela fonctionnera, mais il pourrait s'agir d'une demande d'autorisation à l'utilisateur pour enclencher l'API et la prise en charge de sa manette.
Mieux vaut prévenir que guérir ?
Une telle mesure restrictive pourrait nuire aux développeurs d'applications et de jeux vidéo qui ont besoin d'exploiter la manette pour leur fonctionnement. Pour ne pas les impacter et leur permettre d'accéder à un environnement de débogage, Chrome introduira un paramètre avancé (flag). Ce dernier sera accessible sous le nom de #restrict-gamepad-access. Chacun pourra ainsi tirer librement parti les contrôleurs et tester des jeux sur une page ou un serveur local (localhost) sans mettre en place un certificat SSL.
Il est étonnant de voir Chrome implémenter une telle mesure de sécurité longtemps après Mozilla Firefox. Heureusement, il ne semble pas avoir eu de cas « significatifs » de sites ou de scripts de suivi utilisant l'API Gamepad pour pister un utilisateur. Le navigateur internet de Google a déjà dû corriger en urgence trois failles majeures en 2022.
Pour l'instant, Google n'a pas encore décidé de la date à laquelle la mise à jour du comportement de l'API Gamepad sera déployée pour tout le monde dans Chrome.
Chrome : comment Google favorisera les extensions de qualité
- Bonnes performances
- Simple et agréable à utiliser
- Mises à jour régulières
Sources : XDA-developers, Mozilla