Il a été constaté que certaines fonctions de vérification orthographique étendues ajoutées aux navigateurs Web Google Chrome et Microsoft Edge entraînaient la fuite d’informations sensibles vers leurs sociétés mères.
Une analyse réalisée par la société de sécurité JavaScript otto-js a révélé que la plupart des utilisateurs activent des fonctions qu’ils pensent être bénéfiques pour leur productivité, mais qu’ils se rendent compte qu’ils divulguent leurs informations personnelles (noms d’utilisateur, e-mails, mots de passe, etc.) aux sociétés respectives des navigateurs.
Les deux navigateurs disposent de fonctions de vérification orthographique intégrées de base, activées par défaut, qui ne transmettent pas de données à Google ou à Microsoft. La fonction « Vérification orthographique améliorée » de Chrome et « l’Éditeur Microsoft » de Edge sont des modules complémentaires exclusivement facultatifs que les utilisateurs doivent autoriser explicitement. S’il est clairement indiqué que vos données seront renvoyées aux deux sociétés afin d’améliorer les produits, il n’est pas évident que vos informations personnelles identifiables pourraient en faire partie.
En travaillant conjointement avec la plupart des champs de texte d’une page Web, les deux outils ont accès à « pratiquement tout », selon otto-js. Cela signifie que toutes les données que vous saisissez en ligne, y compris votre date de naissance, vos détails de paiement, vos coordonnées et vos identifiants de connexion, pourraient être renvoyées à Google et à Microsoft.
La plupart des sites Web qui bloquent les mots de passe en ligne masquent ces informations très sensibles aux outils de vérification orthographique, mais lorsqu’un utilisateur clique pour découvrir le texte (peut-être pour vérifier s’il l’a tapé correctement), les informations sont ensuite exposées.
Les développeurs peuvent faire quelque chose
Bleeping Computer a déclaré avoir découvert la transmission de noms d’utilisateur à SSA.gov, Bank of America et Verizon, en utilisant Chrome, les mots de passe étant également exposés à CNN et Facebook uniquement lorsque le bouton « Afficher le mot de passe » ou équivalent avait été cliqué.
Pour minimiser l’exposition, les développeurs Web peuvent inclure « spellcheck=false » dans tous les champs de saisie qui peuvent nécessiter des informations sensibles, ce qui bloque effectivement ces champs pour les outils de vérification orthographique, même si cela signifie bien sûr que la vérification orthographique sera désactivée dans ces champs.
Pour l’utilisateur, la désactivation temporaire des vérificateurs d’orthographe améliorés ou leur suppression totale du navigateur semblent être les seuls moyens de protéger ses données, du moins jusqu’à ce que l’une ou l’autre des entreprises révise sa politique de confidentialité.
