Chrome : un ensemble de bugs permet d'exploiter le microphone à l'insu de l'internaute

Le dispositif de reconnaissance vocale implémenté au sein de Chrome présenterait plusieurs bugs permettant à un site malveillant d'écouter les conversations à l'insu de l'internaute.

En février 2013, Google publiait une nouvelle version stable de son navigateur Chrome en y ajoutant les interfaces de programmation Speech API permettant à certaines applications Web de s'enrichir de fonctionnalités de reconnaissance vocale. Le développeur Tal Ater, spécialisé dans ce type de technologies et éditeur de la bibliothèque JavaScript annyang, explique avoir repéré plusieurs bugs.

En exploitant ces différents bugs, l'homme a conçu un site Internet classique proposant de créer une liste de tâches simplement en dictant ces dernières. Dans un premier temps, il est nécessaire d'autoriser le site à exploiter le microphone de l'ordinateur. Toutefois, après avoir désactivé cet accès et quitté le site en question, le navigateur, encore ouvert, est toujours capable d'enregistrer les propos de l'internaute au sein d'un pop-up discret ouvert en arrière-plan. De son côté, Chrome n'indique pas que le microphone est toujours actif

M. Ater explique avoir rapporté le problème à Google au 13 septembre 2013. Moins d'une semaine plus tard, les ingénieurs de Google ont identifié cette vulnérabilité et conçu un patch en fin de mois. Toutefois, « le temps passe et le correctif n'a toujours pas été déployé sur les machines des internautes », affirme le développeur. Selon la firme de Mountain View, l'interface de programmation respecte les standards et « rien n'a encore été décidé ». Toutefois, selon Tal Ater en octobre 2012, le W3C aurait déjà défini la marche à suivre pour empêcher ce type de comportement.

Le code source de cet exploit a été publié au sein du répertoire GitHub. Reste à savoir si Google déploiera un correctif dans sa prochaine version stable. Retrouvez ci-dessous une vidéo (en anglais) illustrant l'exploitation de ces bugs :