Voici pourquoi des experts en cybersécurité sont furieux contre Google Chrome

[ad_1]

Dans la version 69 de Chrome, dès qu’un utilisateur se connecte à un service de Google (Gmail, YouTube, Drive), le fureteur se connecte lui aussi au même compte. Cette opération s’effectue automatiquement, sans que l’utilisateur en soit informé et sans qu’il ait donné son autorisation.

Auparavant, il était nécessaire de se connecter spécifiquement au fureteur, ce qui permettait par la suite d’activer certaines fonctions, comme le service Sync. Ce service permet de téléverser son historique de navigation, ses mots de passe, ses favoris et d’autres données dans le nuage pour les retrouver automatiquement lorsqu’on se connecte sur différents appareils.

Google s’explique

Selon Adrienne Porter Felt, une ingénieure assignée à Chrome, Sync n’est jamais activé par défaut, même avec la version 69 du fureteur.

Mme Porter Felt a expliqué sur Twitter que l’interface de Chrome avait été revue pour mieux indiquer lorsqu’une personne est connectée sur le navigateur. « Dans le passé, des gens se déconnectaient parfois d’un service et pensaient qu’ils n’étaient plus connectés à Chrome, ce qui pouvait poser problème sur un appareil partagé », a-t-elle écrit lundi.

Adrienne Porter Felt fait référence au fait que des utilisateurs ont pu obtenir les témoins de connexion (cookies) d’autres personnes lorsque deux comptes différents étaient utilisés sur un même ordinateur.

Des experts perplexes

Ces explications n’ont pas convaincu la communauté des experts en cybersécurité.

Pour Matthew Green, cryptographe et professeur à l’Université Johns Hopkins, les explications de Google sont insensées, notamment en ce qui concerne le fait que le service Sync n’est pas activé par défaut, malgré la connexion forcée à Chrome.

« Le consentement des utilisateurs compte, écrit M. Green sur son blogue. Pendant 10 ans, Google Chrome m’a demandé une simple question : “Voulez-vous vous connecter à votre compte Google?” Et pendant 10 ans, j’ai répondu “non merci”. Chrome continue de poser cette question, mais il ne respecte plus ma décision. »

Matthew Green pose aussi des questions auxquelles personne n’a encore répondu jusqu’ici. « Si j’utilise Chrome sans être connecté, puis que je me connecte et que j’active Sync, est-ce que mes données amassées alors que je n’étais pas connecté sont envoyées à Google? »

Un bris de confiance

Cet expert estime que le comportement de Google dans ce dossier érode la confiance des utilisateurs envers ses politiques et ses promesses en matière de sécurité et de respect de la vie privée.

« Si vous n’avez pas respecté mon refus de la plus importante option ayant trait à la vie privée dans Chrome (et que vous ne m’en avez même pas informé), pourquoi devrais-je avoir confiance en toute autre demande de consentement que vous m’envoyez? », s’interroge Matthew Green.

L’un de ses homologues, Bálint Szilakszi, explique de son côté que Chrome était jusqu’ici un service pouvant être utilisé de façon complètement indépendante de l’écosystème de Google. Or, ce n’est plus le cas après ce changement, selon lui. Cela signifie que les utilisateurs qui se méfient déjà des autres services de Google pour des raisons de sécurité ou de vie privée devraient désormais se méfier également de Chrome.

Quelles autres options?

D’autres experts, dont Ryan Naraine d’Intel et John Graham-Cumming de Cloudflare ont joint leurs voix au choeur de critiques, dont certaines appellent à abandonner Chrome au profit d’autres navigateurs considérés comme plus sécuritaires, comme Firefox.

Bien qu’il existe de nombreuses alternatives à Chrome, ce navigateur est de très loin le plus utilisé sur la planète selon StatCounter, avec 59,7 % de parts de marché, contre 14,5 % pour Safari, son plus proche poursuivant. Firefox est en quatrième position avec 4,9 % de parts de marché.

[ad_2]

Source link

قالب وردپرس