Quand les correcteurs orthographiques font fuiter vos données

Secu

SHORT S1E4 – Quand les correcteurs orthographiques font fuiter vos données

Par Thomas Pagbe, publié le 13 janvier 2023

Les correcteurs orthographiques sont incontournables. Mais avant de nous corriger, leurs auteurs ne devraient-ils pas changer leurs pratiques malicieuses en matière de collecte de données personnelles ? Une fuite de données évitable comme un manque évident de correction de leur part…

YouTube

En chargeant cette vidéo, vous acceptez la politique de confidentialité de YouTube.
En savoir plus

Charger la vidéo

Données et correcteurs orthographiques : une « fuite » en avant !

Faut-il encore s’étonner que les deux géants américains soient intrusifs et piochent dans nos données personnelles ? Pas vraiment. Mais nous étions en droit de penser que des outils aussi simples que de simples correcteurs orthographiques n’allaient pas envoyer notre adresse, date de naissance, email et mots de passe auprès de Google comme de Microsoft.

C’est pourtant ce qu’a révélé l’équipe de chercheurs en sécurité d’Otto-JS, une start-up en sécurité web, en fin d’année 2022. Les deux correcteurs orthographiques analysent toutes les informations renseignées dans le champ texte avant de les transférer sur les serveurs des deux entreprises. Démonstration à l’appui, Josh Summitt, le cofondateur de d’Otto-JS explique la fuite de données : « si  »afficher le mot de passe » est activé, la fonctionnalité envoie même votre mot de passe à leurs serveurs tiers. Lors de la recherche de fuites de données dans différents navigateurs, nous avons trouvé une combinaison de fonctionnalités qui, une fois activées, exposeront inutilement les données sensibles à des tiers comme Google et Microsoft. Ce qui est inquiétant, c’est à quel point ces fonctionnalités sont faciles à activer et que la plupart des utilisateurs activeront ces fonctionnalités sans vraiment se rendre compte de ce qui se passe en arrière-plan ».

Un signalement efficace

Otto-JS a révélé la faille auprès de plusieurs acteurs du secteur, ce qui a permis notamment à AWS, au service cloud Alibaba et au gestionnaire de mot de passe LastPass de mettre fin à ce manque évident de correction. Un pratique préjudiciable aussi bien pour les particuliers que pour les entreprises.

À LIRE AUSSI :

Dans l'actualité