La correction d'orthographe améliorée fait fuiter les mots de passe

Les navigateurs Google Chrome et Microsoft Edge disposent tous les deux d'un correcteur orthographique de base. En option, Chrome propose une version améliorée (Correcteur orthographique amélioré) et Edge une solution basée sur Microsoft Editor (une extension).

Pour les chercheurs en sécurité de otto-js (Otto JavaScript Security), il y a un problème de fuite de données avec ces correcteurs orthographiques améliorés. L'exposition d'informations personnellement identifiables et jusqu'aux mots de passe.

Lorsque l'analyse des correcteurs orthographiques entre en jeu, cela concerne le nom d'utilisateur, l'adresse email, la date de naissance, les numéros de sécurité sociale et plus globalement tout ce qui est saisi dans les champs d'un formulaire. Tout dépend de la nature du site web consulté. La question de l'exposition des mots de passe se pose quand l'utilisateur choisit de les afficher.

Risque de détournement pas spell-jacking

" En recherchant des fuites de données dans différents navigateurs, nous avons trouvé une combinaison de fonctions qui, une fois activées, exposent inutilement des données sensibles à des tiers comme Google et Microsoft ", écrit dans un billet de blog Josh Summitt.

Le cofondateur et directeur technique de otto-js ajoute : " Ce qui est inquiétant, c'est la facilité avec laquelle ces fonctions sont activées et le fait que la plupart des utilisateurs les activent sans vraiment se rendre compte de ce qui se passe en arrière-plan. "

Le petit nom de Spell-Jacking est associé à la faille pour signifier un détournement par la correction d'orthographe, avec en filigrane la crainte d'une possibilité d'exploitation par des personnes malintentionnées. En guise de démonstration, otto-js partage la vidéo ci-dessous afin d'illustrer comment la faille de Spell-Jacking pourrait facilement exposer l'infrastructure cloud d'une entreprise.

Des réactions et y compris de Google

Des sites et services sensibles ont été alertés. Certains ont mis en place des mesures d'atténuation complète du problème. C'est le cas de AWS (Amazon Web Services) et LastPass dont le responsable de la sécurité a déclaré : " Dans des navigateurs comme Google Chrome et Microsoft Edge, il existe une vérification orthographique qui partage des données en clair, y compris des mots de passe. […] LastPass a mis en place des contrôles pour empêcher ces fonctions de consulter les données sensibles du coffre-fort, comme les mots de passe. "

Dans les paramètres pour son correcteur orthographique amélioré, Chrome indique explicitement que le texte saisi dans le navigateur est envoyé à Google. Pour la faille de Spell-Jacking, BleepingComputer a obtenu une réaction de Google.

" Le texte saisi par l'utilisateur peut être une information personnelle sensible et Google ne la rattache à aucune identité d'utilisateur et ne la traite que temporairement sur le serveur. Pour garantir davantage la confidentialité des utilisateurs, nous allons travailler à exclure les mots de passe de manière proactive de la vérification d'orthographe. "

Google souligne par ailleurs que la collaboration avec la communauté de la sécurité est appréciée.