IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Les correcteurs orthographiques de Chrome et de Edge peuvent entraîner une fuite de mots de passe
Selon Otto-js

Le , par Bruno

2PARTAGES

9  0 
Otto-js, une start-up en sécurité web, révèle dans un billet de blog que les fonctions de vérification orthographique améliorées de Chrome et Edge exposent les mots de passe de ses utilisateurs. Certains des plus grands sites Web du monde sont exposés à l'envoi par Google et Microsoft d'informations personnelles sensibles concernant les utilisateurs, notamment le nom d'utilisateur, l'adresse électronique et les mots de passe.

Otto JavaScript Security (otto-js) est une start-up spécialisée dans la sécurité des applications côté client, basée à Atlanta, en Géorgie, et disposant de bureaux à Memphis, dans le Tennessee, et à Londres, au Royaume-Uni. Otto-js permet aux ingénieurs de tester, surveiller, détecter et contrôler les vulnérabilités des tiers et le comportement des scripts, en temps réel. Le contrôle de l'accès des tiers aux données sensibles est facile grâce aux outils de test des développeurs côté client, à la protection défensive automatisée, au contrôle dynamique des scripts et à la gestion des politiques.

Dans le billet de blog rédigé à cet effet, l'équipe de chercheurs en sécurité explique : « Certains des plus grands sites Web du monde sont exposés à l'envoi par Google et Microsoft d'informations sensibles des utilisateurs, notamment le nom d'utilisateur, l'adresse électronique et les mots de passe, lorsque les utilisateurs se connectent ou remplissent des formulaires. Une préoccupation encore plus importante pour les entreprises est l'exposition que cela représente pour les informations d'identification de l'entreprise aux actifs internes tels que les bases de données et l'infrastructure cloud ».

1 site web sur 30 atténue


Il y a un avertissement supplémentaire : Si vous cliquez sur « Afficher le mot de passe », le correcteur orthographique amélioré envoie même votre mot de passe, ce qui revient à pirater vos données. On sait que le problème affecte un certain nombre de sites Web et de services très connus, notamment Office 365, Alibaba Cloud Service et Google Cloud Secret Manager. LastPass et AWS Secrets Manager ont également été touchés, mais ces sociétés ont maintenant mis en place des mesures d'atténuation.

Josh Summitt, cofondateur et directeur technique d'otto-js, a découvert le problème de sécurité en testant les comportements des scripts. Il explique : Si l'option « Afficher le mot de passe » est activée, la fonctionnalité envoie même votre mot de passe à leurs serveurs tiers. En recherchant des fuites de données dans différents navigateurs, ils auraient trouvé une combinaison de fonctionnalités qui, une fois activées, exposent des données sensibles à des tiers comme Google et Microsoft. Ce qui est inquiétant, c'est la facilité avec laquelle ces fonctionnalités sont activées et le fait que la plupart des utilisateurs les activent sans vraiment se rendre compte de ce qui se passe en arrière-plan.

Voici, ci-dessous, une vidéo qui illustre les révélations d'Otto :


Dans cette vidéo, les informations d'identification de la base de données de l'entreprise sont piratées lorsque l'employé passe au compte de services en cloud de l'entreprise et clique sur « Afficher le mot de passe », ce qui montre que le mot de passe est envoyé à Google.

La vidéo utilise un scénario courant sur le lieu de travail pour illustrer à quel point il est facile d'activer les fonctions de vérification orthographique du navigateur et comment un employé peut exposer l'entreprise sans le savoir. La plupart des RSSI seraient extrêmement inquiets d'apprendre que les informations d'identification administratives de leur entreprise ont été involontairement partagées en clair avec un tiers, même s'il s'agit d'un tiers de confiance.

Walter Hoehn, vice-président de l'ingénierie d'otto-js, fait remarquer que « l'un des aspects les plus intéressants de ce type d'exposition est qu'elle est causée par l'interaction involontaire entre deux fonctionnalités qui, isolément, sont toutes deux bénéfiques aux utilisateurs. Les fonctions de vérification orthographique améliorées de Chrome et d'Edge constituent une avancée considérable par rapport aux méthodes par défaut basées sur les dictionnaires. De même, les sites Web qui offrent la possibilité d'afficher les mots de passe en clair sont plus faciles à utiliser, notamment pour les personnes handicapées. C'est lorsqu'ils sont utilisés ensemble que l'exposition réelle des mots de passe se produit. »

Josh Summit a détecté ce défaut en effectuant des tests. Il a constaté que 73 % de ces sites et groupes transmettent les données à un tiers. Toutefois, les données du formulaire sont censées être transmises en toute sécurité via HTTPS. Google s'efforce d'assurer le bien-être de sa communauté en supprimant la fonction de vérification orthographique. Pour l'instant, nous pouvons mettre hors service cette fonction de vérification orthographique améliorée en allant dans les paramètres et en la désactivant.

73 % ont envoyé un mot de passe aux utilisateurs


Si la fonction de vérification orthographique de google indique explicitement que le texte que vous tapez dans le navigateur est envoyé à google, il est toutefois précisé que Google ne transfère pas les données à un tiers, mais les traite temporairement sur le serveur. Google travaille de manière proactive pour supprimer le mot de passe du correcteur orthographique afin de garantir la sécurité des opérateurs. Il est dit qu'AWS et LastPass ont tous deux atténué le problème en demandant simplement à leurs utilisateurs de mettre l'attribut HTML spellcheck=false.

Cette fonction empêche le vérificateur d'orthographe de détecter la connexion par défaut du navigateur Web. La plupart des entreprises peuvent également empêcher le spell jacking en supprimant simplement la possibilité d'afficher les mots de passe. Bien que la vérification orthographique puisse être possible même après la suppression de cette fonctionnalité, celle-ci pourrait empêcher l'envoi des mots de passe.

Voici, ci-dessous, une vidéo qui montre comment désactiver la fonction vérification orthographique :


Notons que les fonctionnalités de vérification orthographique améliorée ne sont pas le paramètre par défaut, mais une fois activées, elles le resteront jusqu'à ce qu'elles soient désactivées.

Otto propose d’installer ses extensions Chrome gratuites pour recevoir des alertes lorsque vous vous trouvez sur un site web présentant un risque de fuite de données dû à la vérification orthographique. Pour les utilisateurs qui dépendent de ces fonctionnalités, cette option permet de les laisser activées, mais d'être rappelé lorsque qu’ils se trouvent sur une page où ils risquent de saisir des données sensibles. Les deux applications fournissent des alertes et des conseils rapides pour les désactiver.

À ce jour, personne ne sait pas si les données sont stockées et, dans l'affirmative, qui gère la sécurité des données collectées par les fonctions de vérification orthographique améliorée. On ne sait pas non plus si les données sont gérées avec le même niveau de sécurité que les données sensibles connues, comme les mots de passe, ou si elles sont gérées par une équipe produit, comme des métadonnées permettant d'affiner les modèles.

Selon Otto, bien que Google et Microsoft soient tous deux des entreprises de confiance, les mots de passe sont censés être un secret que vous partagez avec la personne à qui vous les destinez, et personne d'autre. Un secret partagé doit être haché et irréversible, mais cette fonctionnalité viole un principe de sécurité fondamental et pourrait être considérée comme une violation de la vie privée.

Source : Otto-JS

Et vous ?

Que pensez-vous de cette révélation sur la fuite de mot de passe ? Est-elle pertinente ?

Quelle solution proposez-vous ?

Voir aussi :

LastPass, le gestionnaire de mots de passe, confirme que les pirates ont eu un accès interne à son système, pendant quatre jours

Des versions trojanisées de l'utilitaire PuTTY sont utilisées pour propager des backdoors, par des cybercriminels ayant des liens avec des pirates soutenus par le gouvernement nord-coréen

Les lacunes en matière de sécurité du cloud exposent les actifs critiques de l'entreprise en seulement trois coups, selon un rapport d'Orca Security

Uber : un cadre accusé d'avoir déguisé une extorsion de données en « prime de bug », en signant des accords de non-divulgation pour recevoir 100 000 dollars en bitcoins

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de kain_tn
Expert confirmé https://www.developpez.com
Le 21/09/2022 à 10:24
Citation Envoyé par Bruno Voir le message
Selon Otto, bien que Google et Microsoft soient tous deux des entreprises de confiance, les mots de passe sont censés être un secret que vous partagez avec la personne à qui vous les destinez, et personne d'autre. Un secret partagé doit être haché et irréversible, mais cette fonctionnalité viole un principe de sécurité fondamental et pourrait être considérée comme une violation de la vie privée.
Sur le plan des données personnelles, les GAFAM ne sont pas des entreprises de confiance, non.

D'autre part, on ne sait pas vraiment qui a accès aux fichiers temporaires chez Microsoft et Google. Ce n'est peut-être pas considéré comme des fichiers sensibles, d'autant plus si ce "vol" de mot de passe n'était pas une fonctionnalité prévue.
4  0 
Avatar de Zefling
Expert confirmé https://www.developpez.com
Le 21/09/2022 à 12:03
Perso, j'utilise pas Chrome et Edge parce qu'ils ne sont pas open source et font des trucs sur les serveurs sous prétexte de, mais il faut juste les croire sur parole, et pour moi leur parole ne vaut pas grand-chose aujourd'hui.

En tout cas, je vais mettre spellcheck=false sur tous les champs password.

Pour la grammaire, ça, c'est très bien : https://grammalecte.net/
2  0 
Avatar de Fagus
Membre chevronné https://www.developpez.com
Le 22/09/2022 à 0:38
Que pensez-vous de cette révélation sur la fuite de mot de passe ? Est-elle pertinente ?
Non mais on croirait une blague. Sérieusement, google et microsoft exfiltrent en douce les mots de passe et le login, sans nul doute en toute connaissance de cause, et ensuite en tant qu'entreprise sous droit américain, ils doivent les donner sur demande au renseignement économique.

Quelle sera leur excuse ? "Ah, c'est la faute de l'interne" "Ah, on n'a pas pensé aux mots de passe en collectant tous les champ..." ?
1  0 
Avatar de sanderbe
Membre éclairé https://www.developpez.com
Le 27/09/2022 à 18:40
Bonsoir

Les correcteurs orthographiques de Chrome et de Edge peuvent entraîner une fuite de mots de passe, selon Otto-js

Que pensez-vous de cette révélation sur la fuite de mot de passe ?
Pas étonnant je dirais. D'ailleurs dans Chrome il est possible de voir à un moment les mdp en clair , en allant dans le gestionnaire de mdp .

Est-elle pertinente ?
Oui comme expliqué plus. D'ailleurs il était necessaire de douter d'une faille de ces gestionnaires de mdp à un moment ou un autre.

Quelle solution proposez-vous ?
Ne pas stocker les mdp sur un gestionnaire de mdp comme Edge ou Chrome. A croire que le bon vieux tableau word / excel / .txt / .csv est plus secure
0  0 
Avatar de Fagus
Membre chevronné https://www.developpez.com
Le 28/09/2022 à 20:49
Citation Envoyé par sanderbe Voir le message
D'ailleurs dans Chrome il est possible de voir à un moment les mdp en clair , en allant dans le gestionnaire de mdp .

Oui comme expliqué plus. D'ailleurs il était necessaire de douter d'une faille de ces gestionnaires de mdp à un moment ou un autre.

Ne pas stocker les mdp sur un gestionnaire de mdp comme Edge ou Chrome. A croire que le bon vieux tableau word / excel / .txt / .csv est plus secure
Il faut regarder la vidéo de l'article. Le gestionnaire de mots de passe n'est pas impliqué, mais plus généralement tout mot de passe saisi dans le navigateur est envoyé dans une requête POST.
0  0