Il a été constaté que certaines fonctionnalités de vérification orthographique étendues ajoutées aux navigateurs Web Google Chrome et Microsoft Edge renvoyaient des informations sensibles à leurs sociétés mères.
Une analyse de la société de sécurité JavaScript otto-js (s’ouvre dans un nouvel onglet) ont constaté que la plupart des utilisateurs activent des fonctionnalités qu’ils jugent bénéfiques pour leur productivité, pour constater qu’ils divulguent leurs propres informations personnelles telles que les noms d’utilisateur, les e-mails, les mots de passe, etc., aux sociétés respectives des navigateurs.
Les deux navigateurs ont des fonctionnalités de vérification orthographique de base intégrées activées par défaut, qui ne transmettent pas les données à Google ou Microsoft. Le « Enhanced Spellcheck » de Chrome et le « Microsoft Editor » d’Edge sont exclusivement des modules complémentaires opt-in que les utilisateurs doivent explicitement autoriser, et bien qu’il soit clairement indiqué que vos données seront renvoyées aux deux sociétés pour améliorer les produits, il n’est pas si évident que cela pourrait inclure vos informations personnellement identifiables (PII).
Fuites de mots de passe Chrome et Edge
Travaillant en conjonction avec la plupart des champs de texte d’une page Web, les deux outils ont accès à « essentiellement n’importe quoi », explique otto-js. Cela signifie que toutes les données que vous saisissez en ligne, y compris votre date de naissance, vos informations de paiement, vos coordonnées et vos identifiants de connexion, peuvent toutes être renvoyées à Google et Microsoft.
La plupart des sites Web qui bloquent les mots de passe en ligne occultent ces informations hautement sensibles des outils de vérification orthographique, mais lorsqu’un utilisateur clique pour découvrir le texte (peut-être pour vérifier s’il l’a saisi correctement), les informations sont ensuite exposées.
Ordinateur qui bipe (s’ouvre dans un nouvel onglet) a signalé avoir découvert la transmission de noms d’utilisateur à SSA.gov, Bank of America et Verizon, à l’aide de Chrome, les mots de passe étant également exposés à CNN et Facebook uniquement lorsque le bouton « Afficher le mot de passe » ou un bouton équivalent avait été cliqué.
Une façon de minimiser l’exposition consiste pour les développeurs Web à inclure « correction orthographique = faux » dans tous les champs de saisie pouvant nécessiter des informations sensibles, bloquant efficacement ces champs des outils de vérification orthographique, bien que cela signifie bien sûr que la vérification orthographique sera désactivée dans ces entrées.
Du côté de l’utilisateur, désactiver temporairement les correcteurs orthographiques améliorés ou les supprimer entièrement d’un navigateur semble être le seul moyen de protéger vos données, du moins jusqu’à ce que l’une ou l’autre des sociétés révise sa politique de confidentialité.