Pour votre sécurité, Google bridera les manettes de jeu connectées à Chrome

Benjamin Cabiron
Publié le 21 avril 2022 à 09h35
© Shutterstock
© Shutterstock

Depuis 2012, Google Chrome propose une API Gamepad qui, comme son nom l'indique, permet aux applications web et aux jeux d'accéder aux manettes de jeu physiques connectées à un ordinateur. Malheureusement, il semblerait que des personnes malintentionnées puissent s'en servir pour pister des utilisateurs en ligne et siphonner leurs données. Le géant de Mountain View a annoncé mettre en place de nouvelles restrictions pour protéger ses utilisateurs.

Des mesures similaires avaient été prises par Mozilla avec Firefox 81, une version parue en septembre 2020. L'API existe par ailleurs sur Safari, ce qui permet à chacun d'utiliser son iPhone ou iPad avec des services comme GeForce Now ou Google Stadia sans application App Store.

Plus de sécurité par défaut sur Chrome

Le fonctionnement de l'API Gamepad est relativement simple sur tous les navigateurs. Elle consiste à donner un identifiant unique pour chaque manette de jeu branchée sur son ordinateur. Ainsi, Chrome reçoit une liste d'informations depuis des boutons et des axes (joysticks, croix directionnelle). Toutes ces données peuvent être collectées (sous certaines conditions), et c'est ce qui inquiète Google. Avec un accès à ces dernières, un individu malintentionné serait en mesure de suivre quelqu'un via son empreinte numérique (ou fingerprinting).

Les mesures annoncées par Google ressemblent beaucoup à ce qu'avait communiqué Mozilla pour son navigateur Firefox, il y a quasiment deux ans. Premièrement, l'API ne fonctionnera pas sur les sites qui ne sont pas en HTTPS, c'est-à-dire une combinaison du HTTP avec une couche de chiffrement comme SSL ou TLS. Nous vous rappelons qu'il est d'ailleurs recommandé de cocher une option du navigateur pour toujours mettre à niveau les navigations en HTTPS. Elle se situe dans Confidentialité et sécurité > Sécurité > Paramètres avancés.

La deuxième piste de réflexion pour Chrome est un comportement différent de l'API dans certaines intégrations (embed). On ne sait pas encore comment cela fonctionnera, mais il pourrait s'agir d'une demande d'autorisation à l'utilisateur pour enclencher l'API et la prise en charge de sa manette.

Mieux vaut prévenir que guérir ?

Une telle mesure restrictive pourrait nuire aux développeurs d'applications et de jeux vidéo qui ont besoin d'exploiter la manette pour leur fonctionnement. Pour ne pas les impacter et leur permettre d'accéder à un environnement de débogage, Chrome introduira un paramètre avancé (flag). Ce dernier sera accessible sous le nom de #restrict-gamepad-access. Chacun pourra ainsi tirer librement parti les contrôleurs et tester des jeux sur une page ou un serveur local (localhost) sans mettre en place un certificat SSL.

Il est étonnant de voir Chrome implémenter une telle mesure de sécurité longtemps après Mozilla Firefox. Heureusement, il ne semble pas avoir eu de cas « significatifs » de sites ou de scripts de suivi utilisant l'API Gamepad pour pister un utilisateur. Le navigateur internet de Google a déjà dû corriger en urgence trois failles majeures en 2022.

Pour l'instant, Google n'a pas encore décidé de la date à laquelle la mise à jour du comportement de l'API Gamepad sera déployée pour tout le monde dans Chrome.

Benjamin Cabiron
Par Benjamin Cabiron

Passionné depuis toujours par les nouvelles technologies. Je suis avec un œil vigilant le développement de la confidentialité sur le net. Également grand amateur de culture japonaise, j'engloutis les romans de Haruki Murakami ou le dernier anime avec un malin plaisir.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

A découvrir en vidéo

Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (4)
gymnez

Pour notre sécurité Google décide, on ne fait pas ce que l’on veut, c’est qui le maitre du jeu ?

Nmut

La liberté, c’est le choix avec des informations correctes. Si Google ne nous cache rien (! :stuck_out_tongue: ), on a le choix d’utiliser ou pas ses services! Cela ne me gène absolument pas. Cette restriction est certes casse-pieds mais a une vraie raison d’être…

Felaz

Google is… evil !

gymnez

Comment se passer de ces services ? en attendant la technologie Française d’un futur moteur de recherche et d’un système qui pourrait remplacer Android ?, Google profite du rapport publicitaire de manière forcée.