Chrome et Edge : attention aux fuites de mots de passe

Attention si vous utilisez les correcteurs orthographiques de Chrome ou de Edge : les données saisies dans les champs de texte sont transmises en clair sur les serveurs de Google et de Microsoft… y compris vos mots de passe !

Les navigateurs Web de Google et de Microsoft proposent tous deux un outil de vérification orthographique amélioré. S'il est inclus directement dans Chrome, il passe par une extension pour le navigateur Edge. Pratique, il permet, une fois activé, de réduire les fautes d'orthographe ou de frappe lorsque l'on saisit des informations dans une page Web, qu'il s'agisse d'un formulaire ou d'un email par exemple.

Las, les chercheurs d'Otto-js, une société américaine spécialisée dans la sécurité de JavaScript (un langage de programmation très utilisé sur le Web) ont révélé l'existence d'une faille majeure dans ce correcteur orthographique amélioré. Lorsqu'il est activé, l'analyse des textes saisis dans les champs prévus à cet effet ne s'effectue pas en local, sur l'ordinateur, mais sur les serveurs de Google et de Microsoft pour plus d'efficacité. Si bien que tout ce qui est tapé est envoyé en clair aux deux géants du Web. Une pratique qui a de quoi donner des sueurs froides puisque toutes les informations saisies y passent. Les données personnelles comme les noms, les adresses mail, numéros de téléphone, numéro de pièces d'identité, les dates de naissance et, plus inquiétant surtout, les mots de passe.

Les chercheurs d'Otto-js ont ainsi démontré, que, après avoir tapé un sésame dans le champ prévu, il suffisait à l'utilisateur de cliquer sur le bouton Afficher le mot de passe pour que celui-ci soit envoyé sans le moindre chiffrement sur les serveurs de Google et de Microsoft. Si un pirate venait à intercepter la transmission, il pourrait ainsi, sans difficulté, s'emparer des identifiants et mots de passe de n'importe quel utilisateur. Les chercheurs d'Otto-js ont baptisé cette faille Spell-Jacking. Ils ont mené des tests sur une cinquantaine de services Web (banques en ligne, stockage cloud, réseaux sociaux, santé, etc.) et indiquent que 73 % des sites testés laissent ainsi transiter les mots de passe en clair. Ils invitent fortement tous les sites Web à revoir la façon dont sont gérés les champs de saisie de mot de passe dans leurs pages en attendant que la faille soit colmatée. Rien ne vous empêche, de votre côté, de désactiver le correcteur orthographique amélioré dans votre navigateur.

Comment désactiver le correcteur orthographique amélioré de Chrome ?

Le correcteur orthographique amélioré n'est pas activé par défaut dans Google Chrome. Néanmoins, vous l'avez peut-être mis en œuvre pour tester son efficacité. Voici comment le désactiver.

► Ouvrez Google Chrome et cliquez sur les trois points superposés en haut à droite du navigateur. Dans le menu qui se déploie, choisissez Paramètres.

► Cliquez sur Google et vous dans la colonne de gauche puis sur Services Goolge/Synchronisation au centre de la fenêtre.

► Parmi les options affichées, désactivez à présent la fonction Correcteur orthographique amélioré au bas de la liste.

Comment désactiver le correcteur orthographique amélioré de Microsoft Edge ?

La correction améliorée dans le navigateur Edge passe par l'extension Rédacteur Microsoft que vous avez peut-être installée. En attendant que la faille soit corrigée, vous pouvez désactiver la connexion à votre compte, désactiver l'extension ou la supprimer tout simplement.

► Ouvrez le navigateur Edge puis cliquez sur l'icône des extensions figurant dans le ruban d'icônes à droite du champ d'adresse. Dans le menu qui se déploie, cliquez sur Rédacteur Microsoft.

► Le rédacteur Microsoft a besoin d'une connexion à votre compte Microsoft pour fonctionner. Vous pouvez ainsi vous déconnecter. Cliquez sur la flèche pointant vers le bas à droite de votre nom d'utilisateur puis sur Se déconnecter.

► Vous pouvez également désactiver l'extension. Pour cela, cliquez sur la roue crantée. Dans la page qui s'affiche, basculez l'interrupteur Activé, placé en haut à droite, en position Désactivé.

► Enfin, vous pouvez tout simplement supprimer l'extension. Pour cela, dans la liste des extensions installées, cliquez sur les trois points de suspension à droite du Rédacteur de Microsoft. Dans la liste des options, choisissez Supprimer de Microsoft Edge.