Chrome, Edge : le correcteur amélioré envoie vos mots de passe en clair, désactivez-le !

20 septembre 2022 à 08h40
20
Chrome © Firmbee via Unsplash
© Firmbee via Unsplash

Vous utilisez le correcteur orthographique amélioré intégré à Chrome et Edge ? Vous aurez peut-être envie de le désactiver après la lecture de cet article.

Un rapport d'otto-js, une société spécialisée en sécurité relative au langage JavaScript, fait savoir que les navigateurs Google Chrome et Microsoft Edge représentent un risque à la fuite des données personnelles des utilisateurs lorsqu'une certaine fonctionnalité est activée.

Les données personnelles transitent par les serveurs de Google et Microsoft

Cette fonctionnalité est le correcteur orthographique amélioré. Si l'on se rend dans les paramètres de Chrome par exemple, celui-ci est ainsi décrit : « Utilise le même correcteur orthographique que celui utilisé dans la recherche Google. Le texte que vous saisissez dans le navigateur est envoyé à Google ».

Nous bénéficions donc d'un correcteur plus efficace, mais en contrepartie, tout ce que nous écrivons dans Chrome est partagé au groupe américain pour qu'il puisse analyser en profondeur le texte.

Cela vaut également pour toutes les informations que nous remplissons dans un formulaire : nom, prénom, adresse physique, adresse email, numéro de téléphone, voire numéro de sécurité sociale, de carte d'identité ou de passeport… Toutes ces données peuvent transiter via les serveurs de Google et Microsoft.

Les mots de passe envoyés en clair

Cela soulève des interrogations quant au traitement et à la sécurité de ces données par les deux géants de l'internet. Surtout que, comme le relève l'enquête d'otto-js, les mots de passe peuvent aussi être concernés, lorsque l'utilisateur clique sur l'option « Montrer le mot de passe ». La firme de sécurité utilise le terme de spelljacking pour définir ce type de fuite de données.

« Certains des plus grands sites web au monde sont exposés à l'envoi d'informations permettant l'identification des personnes », dénonce l'étude. Les entreprises sont aussi touchées par ce phénomène : si des identifiants sont volés de cette manière, un tiers peut accéder aux systèmes, aux bases de données ou à l'infrastructure Cloud d'une société.

Le correcteur orthographique amélioré peut être activé très facilement par n'importe qui dans les paramètres de Chrome et d'Edge. Une solution serait de rendre l'accès à cette option plus difficile pour que seuls les utilisateurs avertis, qui ont mieux conscience du danger, puissent y avoir recours.

Source : otto-js

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
20
15
xploitedtitan
C’est bien de crier au loup, mais vous auriez au moins pu montrer comment résoudre se problème pour Chrome et Edge.
Feunoir
Je dirais même qu’il est activé par défaut dans Edge. Jamais regardé de ce coté là depuis que edge est passé sous du chromium et je suis en Microsoft Editor<br /> (Dans « Paramètre » recherchez/tapez les premières lettre de « Rédaction » (avec l’accent du é ) ou ortho → Microsoft Editor serait pas le bon choix pour ce probleme)<br /> Vu mon usage de Edge j’ai désormais passé ça en basique.<br /> Pas trop inquiet s’il faut que l’on affiche le mot de passe, car c’est keepass qui gère l’écriture, et ce serait vraiment ballot d’avoir une fuite car je ne connais vraiment aucun de mes propre mots de passe<br /> image1178×246 20.2 KB<br />
Popoulo
Turn Chrome spell check on and off<br /> Go to Settings.<br /> Click Advanced and then languages.<br /> To the right of ‹ Spell check ›, turn it on or off.
Kergariou
A noter que sur Chrome, seul le correcteur basique est activé par défaut.
Titan
Firefox, Safari ou rien, c’est tout
max6
lire l’article c’est bien aussi avant de récriminer. Il suffit de ne pas activer le correcteur amélioré comme cela est clairement écrit.
xploitedtitan
Comme Feunoir montre plus haut, les instructions sont différentes pour Edge.<br /> Il est bien beau de signaler que c’est quelque chose que l’on doit activer, alors que c’est activé par défaut dans Edge.<br /> Qui n’a pas la même arborescence que Chrome en ce qui concerne les paramètres.<br /> Donc, ma remarque est valide, et je remercie @Feunoir d’avoir fourni la réponse.<br /> Que je considère aurait dû être fourni par Clubic.
max6
Ou alors faire comme feunoir chercher et trouver. Pourquoi vouloir que la solution vienne « machée » par les autres quand on peut juste regarder et trouver.<br /> L’initiative et l’altruisme de Feunoir sont à remercier mais dans ce cas il n’est pas question d’une solution demandant des connaissance complexes tout un chacun devrait se pencher sur les paramètres des outils qu’il utilise pour en connaître les capacités et les défauts.<br /> Mais ce n’est que mon opinion !
xryl
On crie au loup, alors que la majorité des utilisateurs d’Android utilisent le clavier de Google par défaut qui fait exactement ça, c’est à dire que sur toutes les applications, tous les messages, absolument tout passe par Google. Je ne sais pas pour le clavier Apple, mais typiquement, Apple le fait aussi pour tout fichier exécutable, donc les scripts que vous écririez contenant des mots de passe de connexion ou autre.<br /> Bref, dès que vous recevez un système quel qu’il soit, le premier réflexe c’est de remplacer tous les « logiciels d’entrée » (clavier virtuel, STT, etc…) par de l’open source. Après, le navigateur, c’est aussi une bonne idée (et non Chrome, n’est pas open source).
Squeak
Et après on lit des articles comme « Énorme fuite de données, des milliards de comptes concernés » si les géants du Web eux-mêmes ont de mauvaises pratiques…<br /> Je n’utilise ni Edge ni Chrome au quotidien mais par prudence j’ai été voir les paramètres. Sous Chrome c’est bien désactivé par défaut. Et dans Edge je ne trouve rien concernant une vérification avancée, pas non plus d’options Rédaction etc. Auraient-ils déjà enlevé ça peut-être?<br /> Personnellement, et quelle que soit l’application, je désactive tous ces trucs de statistiques, d’envoi de données"anonymes" (notez bien les guillemets) et « pour aider à résoudre des problèmes »… C’est en général la porte ouverte à une collecte de données massive.
paulposition
Pour Edge: Paramètres (les 3petits points a droites) / Paramètres (dans le menu déroulant) Taper: Orthographe dans la fenêtre de recherche , en haut a gauche, Microsoft Editor est activé par défaut, Cliquer sur Basic
Muggsy68
Moi j’ai uniquement : Activer la vérification orthographique. Par dictionnaire
juju251
En installant Firefox. <br /> /Troll<br /> … ou pas …<br /> Google, données personnelles tout ça …
octokitty
Il y a quelques années, il y en a qui débattaient si les correcteurs orthographiques étaient des keyloggers. Ben c’en est pas si loin finalement.
Muggsy68
Un correcteur orthographique comparé la saisie à un dictionnaire.<br /> Ton mot de passe n’est pas dans le dictionnaire avec les règles de sécurité actuelles.<br /> Maintenant si ce n’est pas comparé à un dictionnaire localement mais une base de données regroupant toutes les saisies du monde, la il suffit pour un utilisateur donné trouvé les points de récurrence et tu peut deviner les saisies correspondants aux mots de passe surtout s’il suit une adresse mail
Squeak
Merci, pour Edge c’est bizarre: sur mon PC principal il n’y a pas cette option et sur mon autre PC elle y est. En tapant dans les deux cas « ortho ». Même version de Edge et aucun module complémentaire installé dans les deux cas.
paulposition
Je précise que la « solution » pour Edge a été donnée par @Feunoir ; Moi, je n’ai fait que détailler la procédure <br /> @Squeak : Je ne peut pas t’aider , je n’utilise pas Edge ( Moi, c’est FireFox et -accessoirement- Vivaldi )
Squeak
La différence c’est que le PC sur lequel l’option n’apparaît pas est en version Windows 10 21H2 (la plus récente donc), et l’autre où ça apparaît est en 21H1. Peut être que dans la version 21H2 c’est quelque chose d’optionnel, je n’en sais rien.<br /> De toutes façons je n’utilise pas Edge au quotidien, mais j’aime bien savoir quand même ce qu’il se permet de faire! Le fait qu’ils collectent des données, c’est une chose (après tout on a accepté le contrat de licence, et donc Microsoft ou Google sont en droit) mais là où c’est beaucoup plus grave c’est le fait qu’ils transmettent des informations en clair sans aucune précaution.
bmustang
quand on dit que firefox est meilleur
Joeee
Je ne savais pas pour le clavier, merci pour l’info. Après l’idéal est d’utiliser un navigateur indépendant du moteur financé en majorité par Google et MS pour avoir plus de chance d’être moins touché, d’être plus indépendant
Feunoir
Peut être une vielle version de Edge sur ton 21H2? Car je suis sur un autre pc, toujours en win10 21H2 et j’ai pareil que mon post au dessus<br /> Pour voir la version suffit d’aller dans « A propos de Microsoft Edge » dans « Aide et commentaires » ou directement dans les « Paramètres »<br /> Actuellement la version est la 105 :<br /> image828×340 18.4 KB<br />
Squeak
En tapant le début de « ortho » ou « rédaction » comme l’autre jour maintenant c’est apparu… Je ne chercherai pas à comprendre, je n’ai pas fait attention s’il a fait une mise à jour entre temps mais la version est la même partout maintenant et la même que toi. Edge se met à jour tout seul.<br /> Que ce soit sur mobile ou PC, je reste sur Firefox…
Voir tous les messages sur le forum

Derniers actualités

Retournement de situation : M6 n'est plus à vendre. Que s'est-il passé ?
Êtes-vous prêts pour le bracelet de paiement ? Le français Fyve se lance en couleurs
Pourquoi les joueurs préfèrent les cartes graphiques milieu et bas de gamme ?
Mort de Stadia : Google aurait annulé une suite de Death Stranding
Samsung : découvrez les rendus du futur Galaxy A14
Airbnb va donner de l'argent aux hôtes qui font des travaux de rénovation énergétique
Crypto et influenceurs : pourquoi Kim Kardashian risque-t-elle 1,26 million de dollars d'amende ?
Là où meurent les Autolib... un cimetière découvert en pleine campagne
Profitez d'une belle remise sur le Samsung Galaxy S20 FE
Non, l'iPhone 15 n'aura pas Touch ID (ni les iPhone suivants)
Haut de page