Le navigateur Internet de Google – Chrome – permet d'utiliser le micro de l'ordinateur, non seulement pour effectuer des demandes vocales sur son moteur de recherche, mais aussi pour simplifier l'utilisation de certains sites Internet. Pratique non ? Oui, mais un poil dangereux.
Très pratique sur Android pour éviter de saisir ses requêtes au clavier tactile, la fonction de commande vocale de Google est aussi implémentée sous Chrome. Elle est utilisable en cliquant sur la petite icône de micro, par exemple dans le champ de recherche Google :
Mais la commande vocale est également utilisable sur certains sites web qui en font la demande. Auquel cas, l'activation de la fonction est signifiée dans la barre d'adresse :
Lorsque les pages de ces sites web sont fermées, le micro est bien sûr censé devoir se couper. Mais le développeur Tal Ater a découvert en 2013 que cette fonction pouvait rester active, même après fermeture des pages (/onglets), grâce à une fenêtre pop-under (qui s'ouvre en arrière-plan, sans signaler l'activité du micro et l'enregistrement audio). Concrètement, cela signifie que des sites malveillants peuvent écouter nos voix (conversations, appels téléphoniques, etc.), pour essayer d'en tirer profit. Techniquement, le mode micro peut même rester en veille et s'activer automatiquement lorsque l'internaute utilise certains mot-clés ! Voici la démonstration vidéo :
Il s'agit en définitive d'une faille dans le procédé de Google Chrome : lorsqu'un utilisateur autorise l'activation du micro sur un site HTTPS, le navigateur mémorise ces informations, sans demander plus tard de nouvelle confirmation.
Tal Ater affirme avoir signalé cette faille à Google en septembre 2013. La firme avait alors répondu qu'un patch de sécurité serait disponible en novembre, mais il n'en a rien été…
Comment savoir quels sites web ont activé mon micro ?
Dans tous les cas, seuls les sites Internet pour lesquels vous avez autorisé la commande vocale via Chrome peuvent techniquement abuser de cette permission. Pour connaître la liste des sites web auprès desquels vous avez activé la fonction de micro, allez vérifier dans les paramètres du navigateur (ou plus simplement rendez-vous sur chrome://settings/contentExceptions#media-stream).
Comment interdire aux sites Internet l'accès à mon micro ?
Si vous pensez ne jamais utiliser cette fonction de commande vocale dans Chrome, alors autant la désactiver de suite ! Pour ce faire, rendez-vous dans les Paramètres < Paramètres avancés < Paramètres de contenu (ou directement via chrome://settings/content). Sous la catégorie "Média", cochez la case "Interdire aux sites d'accéder à ma caméra et à mon microphone", et le tour est joué !
Source : macg.co
1 commentaire
Des sites malveillants peuvent utiliser l'oreil... a dit :
24 janvier 2014 à 12 h 46 min (UTC 1)
[…] Si vous ne voulez pas prendre le risque qu'un site web continue à écouter vos conversations, voici comment désactiver la fonction de commande vocale (Chrome) […]