Les correcteurs des moteurs de recherche Chrome et Edge enregistrent et envoient les données sensibles, dont les mots de passe, aux serveurs de Google et Microsoft. Cela touche autant les particuliers que les entreprises.
Une importante brèche a été découverte dans les correcteurs d’orthographe de Google et de Microsoft. Ainsi, tous les champs de texte qui peuvent être analysés par ces correcteurs orthographiques, dans Chrome et Edge sont concernés.
Que ce soit un formulaire ou une page de connexion, les contenus entrés dans un champs de texte sont susceptibles d’être envoyés à Google et Microsoft. Cela peut inclure les noms, prénoms, adresses e-mail, date de naissance ou encore numéros de sécurité sociale. Et surtout les mots de passe…
Cette brèche s’appelle le Spell-Jacking et pourrait causer de gros problèmes aux consommateurs et aux principales industries en matière de confidentialité, de protection des données et de sécurité côté client.
Ce problème se pose aussi aux entreprises quant à l’exposition des informations internes tels que les bases de données et la sécurité des données des clients.
Alerter les entreprises
Les équipes de chercheurs en sécurité de Otto-JS ont découvert la fuite du correcteur orthographique en testant leur propre système.
“Si la fonction ‘afficher le mot de passe’ est activée, la fonctionnalité envoie le mot de passe à des serveurs tiers. Lors de la recherche de fuites de données dans différents navigateurs, nous avons trouvé une combinaison de fonctionnalités qui, une fois activées, exposeront inutilement des données sensibles à des tiers comme Google et Microsoft”, explique Josh Summitt le directeur technique d’Otto JS.
Les captures d’écran publiées par l’entreprise montrent ainsi que lorsqu’un utilisateur qui se connecte à Alibaba Cloud, son mot de passe est envoyé sur les serveurs de Google.
Pour démontrer la faille, les équipes ont testé plus de 50 sites web. Otto-JS, a dévoilé l’existence de cette brèche à plusieurs géants du secteur dont Amazon Web Services et LastPass qui ont corrigé le tir. D’autres comme Bureau 365, Alibaba Service Cloud et Google Cloud, n’ont, à la connaissance d’Otto-JS, pas encore fait le nécessaire. Otto-JS conseille notamment aux entreprises supprimer la possibilité d’afficher le mot de passe.