Otto-js, une start-up en sécurité web, révèle dans un billet de blog que les fonctions de vérification orthographique améliorées de Chrome et Edge exposent les mots de passe de ses utilisateurs. Certains des plus grands sites Web du monde sont exposés à l'envoi par Google et Microsoft d'informations personnelles sensibles concernant les utilisateurs, notamment le nom d'utilisateur, l'adresse électronique et les mots de passe.Otto JavaScript Security (otto-js) est une start-up spécialisée dans la sécurité des applications côté client, basée à Atlanta, en Géorgie, et disposant de bureaux à Memphis, dans le Tennessee, et à Londres, au Royaume-Uni. Otto-js permet aux ingénieurs de tester, surveiller, détecter et contrôler les vulnérabilités des tiers et le comportement des scripts, en temps réel. Le contrôle de l'accès des tiers aux données sensibles est facile grâce aux outils de test des développeurs côté client, à la protection défensive automatisée, au contrôle dynamique des scripts et à la gestion des politiques.
Dans le billet de blog rédigé à cet effet, l'équipe de chercheurs en sécurité explique : « Certains des plus grands sites Web du monde sont exposés à l'envoi par Google et Microsoft d'informations sensibles des utilisateurs, notamment le nom d'utilisateur, l'adresse électronique et les mots de passe, lorsque les utilisateurs se connectent ou remplissent des formulaires. Une préoccupation encore plus importante pour les entreprises est l'exposition que cela représente pour les informations d'identification de l'entreprise aux actifs internes tels que les bases de données et l'infrastructure cloud ».
1 site web sur 30 atténue
Il y a un avertissement supplémentaire : Si vous cliquez sur « Afficher le mot de passe », le correcteur orthographique amélioré envoie même votre mot de passe, ce qui revient à pirater vos données. On sait que le problème affecte un certain nombre de sites Web et de services très connus, notamment Office 365, Alibaba Cloud Service et Google Cloud Secret Manager. LastPass et AWS Secrets Manager ont également été touchés, mais ces sociétés ont maintenant mis en place des mesures d'atténuation.
Josh Summitt, cofondateur et directeur technique d'otto-js, a découvert le problème de sécurité en testant les comportements des scripts. Il explique : Si l'option « Afficher le mot de passe » est activée, la fonctionnalité envoie même votre mot de passe à leurs serveurs tiers. En recherchant des fuites de données dans différents navigateurs, ils auraient trouvé une combinaison de fonctionnalités qui, une fois activées, exposent des données sensibles à des tiers comme Google et Microsoft. Ce qui est inquiétant, c'est la facilité avec laquelle ces fonctionnalités sont activées et le fait que la plupart des utilisateurs les activent sans vraiment se rendre compte de ce qui se passe en arrière-plan.
Voici, ci-dessous, une vidéo qui illustre les révélations d'Otto :
Dans cette vidéo, les informations d'identification de la base de données de l'entreprise sont piratées lorsque l'employé passe au compte de services en cloud de l'entreprise et clique sur « Afficher le mot de passe », ce qui montre que le mot de passe est envoyé à Google.
La vidéo utilise un scénario courant sur le lieu de travail pour illustrer à quel point il est facile d'activer les fonctions de vérification orthographique du navigateur et comment un employé peut exposer l'entreprise sans le savoir. La plupart des RSSI seraient extrêmement inquiets d'apprendre que les informations d'identification administratives de leur entreprise ont été involontairement partagées en clair avec un tiers, même s'il s'agit d'un tiers de confiance.
Walter Hoehn, vice-président de l'ingénierie d'otto-js, fait remarquer que « l'un des aspects les plus intéressants de ce type d'exposition est qu'elle est causée par l'interaction involontaire entre deux fonctionnalités qui, isolément, sont toutes deux bénéfiques aux utilisateurs. Les fonctions de vérification orthographique améliorées de Chrome et d'Edge constituent une avancée considérable par rapport aux méthodes par défaut basées sur les dictionnaires. De même, les sites Web qui offrent la possibilité d'afficher les mots de passe en clair sont plus faciles à utiliser, notamment pour les personnes handicapées. C'est lorsqu'ils sont utilisés ensemble que l'exposition réelle des mots de passe se produit. »
Josh Summit a détecté ce défaut en effectuant des tests. Il a constaté que 73 % de ces sites et groupes transmettent les données à un tiers. Toutefois, les données du formulaire sont censées être transmises en toute sécurité via HTTPS. Google s'efforce d'assurer le bien-être de sa communauté en supprimant la fonction de vérification orthographique. Pour l'instant, nous pouvons mettre hors service cette fonction de vérification orthographique améliorée en allant dans les paramètres et en la désactivant.
73 % ont envoyé un mot de passe aux utilisateurs
Si la fonction de vérification orthographique de google indique explicitement que le texte que vous tapez dans le navigateur est envoyé à google, il est toutefois précisé que Google ne transfère pas les données à un tiers, mais les traite temporairement sur le serveur. Google travaille de manière proactive pour supprimer le mot de passe du correcteur orthographique afin de garantir la sécurité des opérateurs. Il est dit qu'AWS et LastPass ont tous deux atténué le problème en demandant simplement à leurs utilisateurs de mettre l'attribut HTML spellcheck=false.
Cette fonction empêche le vérificateur d'orthographe de détecter la connexion par défaut du navigateur Web. La plupart des entreprises peuvent également empêcher le spell jacking en supprimant simplement la possibilité d'afficher les mots de passe. Bien que la vérification orthographique puisse être possible même après la suppression de cette fonctionnalité, celle-ci pourrait empêcher l'envoi des mots de passe.
Voici, ci-dessous, une vidéo qui montre comment désactiver la fonction vérification orthographique :
Notons que les fonctionnalités de vérification orthographique améliorée ne sont pas le paramètre par défaut, mais une fois activées, elles le resteront jusqu'à ce qu'elles soient désactivées.
Otto propose d’installer ses extensions Chrome gratuites pour recevoir des alertes lorsque vous vous trouvez sur un site web présentant un risque de fuite de données dû à la vérification orthographique. Pour les utilisateurs qui dépendent de ces fonctionnalités, cette option permet de les laisser activées, mais d'être rappelé lorsque qu’ils se trouvent sur une page où ils risquent de saisir des données sensibles. Les deux applications fournissent des alertes et des conseils rapides pour les désactiver.
À ce jour, personne ne sait pas si les données sont stockées et, dans l'affirmative, qui gère la sécurité des données collectées par les fonctions de vérification orthographique améliorée. On ne sait pas non plus si les données sont gérées avec le même niveau de sécurité que les données sensibles connues, comme les mots de passe, ou si elles sont gérées par une équipe produit, comme des métadonnées permettant d'affiner les modèles.
Selon Otto, bien que Google et Microsoft soient tous deux des entreprises de confiance, les mots de passe sont censés être un secret que vous partagez avec la personne à qui vous les destinez, et personne d'autre. Un secret partagé doit être haché et irréversible, mais cette fonctionnalité viole un principe de sécurité fondamental et pourrait être considérée comme une violation de la vie privée.
Source : Otto-JS
Et vous ?
Que pensez-vous de cette révélation sur la fuite de mot de passe ? Est-elle pertinente ? Quelle solution proposez-vous ?Voir aussi :
LastPass, le gestionnaire de mots de passe, confirme que les pirates ont eu un accès interne à son système, pendant quatre jours Des versions trojanisées de l'utilitaire PuTTY sont utilisées pour propager des backdoors, par des cybercriminels ayant des liens avec des pirates soutenus par le gouvernement nord-coréen Les lacunes en matière de sécurité du cloud exposent les actifs critiques de l'entreprise en seulement trois coups, selon un rapport d'Orca Security Uber : un cadre accusé d'avoir déguisé une extorsion de données en « prime de bug », en signant des accords de non-divulgation pour recevoir 100 000 dollars en bitcoins 
Envoyé par Bruno
