Otto-js, une start-up en scurit web, rvle dans un billet de blog que les fonctions de vrification orthographique amliores de Chrome et Edge exposent les mots de passe de ses utilisateurs. Certains des plus grands sites Web du monde sont exposs l’envoi par Google et Microsoft d’informations personnelles sensibles concernant les utilisateurs, notamment le nom d’utilisateur, l’adresse lectronique et les mots de passe.
Otto JavaScript Security (otto-js) est une start-up spcialise dans la scurit des applications ct client, base Atlanta, en Gorgie, et disposant de bureaux Memphis, dans le Tennessee, et Londres, au Royaume-Uni. Otto-js permet aux ingnieurs de tester, surveiller, dtecter et contrler les vulnrabilits des tiers et le comportement des scripts, en temps rel. Le contrle de l’accs des tiers aux donnes sensibles est facile grce aux outils de test des dveloppeurs ct client, la protection dfensive automatise, au contrle dynamique des scripts et la gestion des politiques.
Dans le billet de blog rdig cet effet, l’quipe de chercheurs en scurit explique : Certains des plus grands sites Web du monde sont exposs l’envoi par Google et Microsoft d’informations sensibles des utilisateurs, notamment le nom d’utilisateur, l’adresse lectronique et les mots de passe, lorsque les utilisateurs se connectent ou remplissent des formulaires. Une proccupation encore plus importante pour les entreprises est l’exposition que cela reprsente pour les informations d’identification de l’entreprise aux actifs internes tels que les bases de donnes et l’infrastructure cloud .
1 site web sur 30 attnue
Il y a un avertissement supplmentaire : Si vous cliquez sur Afficher le mot de passe , le correcteur orthographique amlior envoie mme votre mot de passe, ce qui revient pirater vos donnes. On sait que le problme affecte un certain nombre de sites Web et de services trs connus, notamment Office 365, Alibaba Cloud Service et Google Cloud Secret Manager. LastPass et AWS Secrets Manager ont galement t touchs, mais ces socits ont maintenant mis en place des mesures d’attnuation.
Josh Summitt, cofondateur et directeur technique d’otto-js, a dcouvert le problme de scurit en testant les comportements des scripts. Il explique : Si l’option Afficher le mot de passe est active, la fonctionnalit envoie mme votre mot de passe leurs serveurs tiers. En recherchant des fuites de donnes dans diffrents navigateurs, ils auraient trouv une combinaison de fonctionnalits qui, une fois actives, exposent des donnes sensibles des tiers comme Google et Microsoft. Ce qui est inquitant, c’est la facilit avec laquelle ces fonctionnalits sont actives et le fait que la plupart des utilisateurs les activent sans vraiment se rendre compte de ce qui se passe en arrire-plan.
Voici, ci-dessous, une vido qui illustre les rvlations d’Otto :
Dans cette vido, les informations d’identification de la base de donnes de l’entreprise sont pirates lorsque l’employ passe au compte de services en cloud de l’entreprise et clique sur Afficher le mot de passe , ce qui montre que le mot de passe est envoy Google.
La vido utilise un scnario courant sur le lieu de travail pour illustrer quel point il est facile d’activer les fonctions de vrification orthographique du navigateur et comment un employ peut exposer l’entreprise sans le savoir. La plupart des RSSI seraient extrmement inquiets d’apprendre que les informations d’identification administratives de leur entreprise ont t involontairement partages en clair avec un tiers, mme s’il s’agit d’un tiers de confiance.
Walter Hoehn, vice-prsident de l’ingnierie d’otto-js, fait remarquer que l’un des aspects les plus intressants de ce type d’exposition est qu’elle est cause par l’interaction involontaire entre deux fonctionnalits qui, isolment, sont toutes deux bnfiques aux utilisateurs. Les fonctions de vrification orthographique amliores de Chrome et d’Edge constituent une avance considrable par rapport aux mthodes par dfaut bases sur les dictionnaires. De mme, les sites Web qui offrent la possibilit d’afficher les mots de passe en clair sont plus faciles utiliser, notamment pour les personnes handicapes. C’est lorsqu’ils sont utiliss ensemble que l’exposition relle des mots de passe se produit.
Josh Summit a dtect ce dfaut en effectuant des tests. Il a constat que 73 % de ces sites et groupes transmettent les donnes un tiers. Toutefois, les donnes du formulaire sont censes tre transmises en toute scurit via HTTPS. Google s’efforce d’assurer le bien-tre de sa communaut en supprimant la fonction de vrification orthographique. Pour l’instant, nous pouvons mettre hors service cette fonction de vrification orthographique amliore en allant dans les paramtres et en la dsactivant.
73 % ont envoy un mot de passe aux utilisateurs
Si la fonction de vrification orthographique de google indique explicitement que le texte que vous tapez dans le navigateur est envoy google, il est toutefois prcis que Google ne transfre pas les donnes un tiers, mais les traite temporairement sur le serveur. Google travaille de manire proactive pour supprimer le mot de passe du correcteur orthographique afin de garantir la scurit des oprateurs. Il est dit qu’AWS et LastPass ont tous deux attnu le problme en demandant simplement leurs utilisateurs de mettre l’attribut HTML spellcheck=false.
Cette fonction empche le vrificateur d’orthographe de dtecter la connexion par dfaut du navigateur Web. La plupart des entreprises peuvent galement empcher le spell jacking en supprimant simplement la possibilit d’afficher les mots de passe. Bien que la vrification orthographique puisse tre possible mme aprs la suppression de cette fonctionnalit, celle-ci pourrait empcher l’envoi des mots de passe.
Voici, ci-dessous, une vido qui montre comment dsactiver la fonction vrification orthographique :
Notons que les fonctionnalits de vrification orthographique amliore ne sont pas le paramtre par dfaut, mais une fois actives, elles le resteront jusqu’ ce qu’elles soient dsactives.
Otto propose dinstaller ses extensions Chrome gratuites pour recevoir des alertes lorsque vous vous trouvez sur un site web prsentant un risque de fuite de donnes d la vrification orthographique. Pour les utilisateurs qui dpendent de ces fonctionnalits, cette option permet de les laisser actives, mais d’tre rappel lorsque quils se trouvent sur une page o ils risquent de saisir des donnes sensibles. Les deux applications fournissent des alertes et des conseils rapides pour les dsactiver.
ce jour, personne ne sait pas si les donnes sont stockes et, dans l’affirmative, qui gre la scurit des donnes collectes par les fonctions de vrification orthographique amliore. On ne sait pas non plus si les donnes sont gres avec le mme niveau de scurit que les donnes sensibles connues, comme les mots de passe, ou si elles sont gres par une quipe produit, comme des mtadonnes permettant d’affiner les modles.
Selon Otto, bien que Google et Microsoft soient tous deux des entreprises de confiance, les mots de passe sont censs tre un secret que vous partagez avec la personne qui vous les destinez, et personne d’autre. Un secret partag doit tre hach et irrversible, mais cette fonctionnalit viole un principe de scurit fondamental et pourrait tre considre comme une violation de la vie prive.
Source : Otto-JS
Et vous ?
Que pensez-vous de cette rvlation sur la fuite de mot de passe ? Est-elle pertinente ?
Quelle solution proposez-vous ?
Voir aussi :