Google Chrome et Microsoft Edge offrent tous deux une fonctionnalité de vérification orthographique améliorée qui détecte et corrige automatiquement les mots mal orthographiés. Bien que cette fonctionnalité puisse sembler utile et pratique, des recherches récentes démontrent qu'elle peut poser de sérieux risques pour la vie privée.
Lorsqu'ils sont activés manuellement, la vérification orthographique améliorée de Chrome et l'éditeur Microsoft renvoient les données de votre formulaire à leurs sociétés mères, ce qui consiste essentiellement à corriger l'orthographe des données.
Qu'est-ce que le Spell-Jacking ?
Le spell-jacking fait référence à l'exposition d'informations personnelles identifiables (PII) par Fonctionnalité de vérification orthographique améliorée dans Chrome et Éditeur Microsoft.
Recherche par la société de sécurité JavaScript otto-js a constaté que toutes les données saisies dans n'importe quel champ de formulaire étaient transmises aux serveurs tiers de Google et de Microsoft lorsque la fonction de vérification orthographique améliorée était activée.
Selon les sites Web que vous visitez, les informations divulguées peuvent inclure le nom d'utilisateur, le mot de passe, l'adresse, la date de naissance, le numéro de sécurité sociale (SSN), les informations bancaires et de paiement, etc.
Bien que les deux fonctionnalités soient désactivées par défaut, il s'agit de savoir à quel point elles sont faciles à activer et la plupart des utilisateurs les activent sans se rendre compte de ce qui se passe en arrière-plan.
Qui est à risque ?
otto-js a identifié les cinq principaux services en ligne menacés par cette faille de sécurité. Ils incluent le service cloud d'Alibaba, Office 365, AWS Secret Manager, Google Cloud Secret Manager et LastPass. AWS et LastPass auraient atténué le problème, tandis que Google l'a résolu pour certains de ses services.
Cependant, ce ne sont pas seulement les utilisateurs d'entreprise qui sont à risque. otto-js a testé plus de 50 sites Web que les gens utilisent fréquemment et qui ont accès à des informations sensibles. Il a divisé 30 de ces sites Web en six catégories et sélectionné les cinq meilleurs sites Web par catégorie pour créer une référence de la fréquence et de l'intensité de l'exposition. Les six catégories comprennent :
- Services bancaires en ligne
- Soins de santé
- Outils de bureau en nuage
- Gouvernement
- Réseaux sociaux
- Commerce électronique
Dans le groupe de contrôle de 30 sites Web testés, otto-js a constaté qu'environ 97 % renvoyaient des données utilisateur sensibles à Google et Microsoft lorsque les fonctionnalités de vérification orthographique étaient activées.
En outre, plus de 73 % des sites Web ont envoyé des mots de passe aux entreprises lorsque les utilisateurs ont cliqué sur "Afficher le mot de passe".
Cela présente un problème de sécurité important pour les informations d'identification de l'entreprise et la sécurité côté client.
Comment atténuer le piratage de sorts
La meilleure façon de protéger vos identifiants de connexion est d'utiliser un gestionnaire de mot de passe sécurisé, un bon programme antivirus, et crypter votre trafic avec un VPN. Cependant, les pratiques normales de cybersécurité ne suffisent pas dans ce cas.
Une façon de minimiser l'exposition pour les entreprises consiste à inclure "spellcheck=false" dans les champs de saisie qui nécessitent des informations personnelles. Cela bloquera efficacement ces champs des outils de vérification orthographique, ce qui signifie que la vérification orthographique sera désactivée pour ces entrées.
Une autre façon pour les entreprises d'atténuer l'impact du "spell-jacking" consiste à désactiver la fonctionnalité "Afficher le mot de passe" pour les utilisateurs. Cela n'empêchera pas l'orthographe, mais cela empêchera l'envoi des mots de passe des utilisateurs.
Les entreprises peuvent également mettre en œuvre des solutions de sécurité des terminaux qui peuvent désactiver les fonctionnalités de vérification orthographique et empêcher leurs employés d'installer des extensions de navigateur compromises.
Pour les utilisateurs individuels, voici comment désactiver la fonctionnalité de vérification orthographique améliorée dans les navigateurs Chrome et Edge :
Google Chrome
Le moyen le plus simple de protéger vos données personnelles contre l'envoi à Google consiste à supprimer pour le moment la fonction de vérification orthographique améliorée. Vous pouvez désactiver la fonctionnalité dans vos paramètres Chrome en procédant comme suit :
- Clique le trois points dans le coin supérieur droit de votre navigateur et sélectionnez Paramètres.
- Faites défiler vers le bas et cliquez Avancé pour afficher des paramètres supplémentaires.
- Sélectionner Langues parmi les options qui s'affichent à gauche de l'écran.
- Sous le Vérification orthographique section, décochez la Vérification orthographique améliorée option.
Vous pouvez également accéder à la page en collant simplement le lien suivant dans la barre d'adresse de votre navigateur et en appuyant sur Entrée :
chrome://settings/?search=Enhanced+Spell+CheckBord Microsoft
Pour les utilisateurs de Microsoft Edge, le correcteur orthographique est un module complémentaire du navigateur. Pour supprimer l'extension de votre navigateur, faites un clic droit sur l'icône de l'extension et choisissez "Supprimer de Microsoft Edge".
Si vous ne trouvez pas l'icône sur la page d'accueil de votre navigateur, vous pouvez accéder à la bibliothèque d'extensions et la supprimer de là. Cliquez simplement sur "Extensions" à droite de la barre d'adresse du navigateur pour trouver des extensions. Sélectionnez "Plus d'actions" à côté de l'extension que vous souhaitez supprimer et cliquez sur "Supprimer de Microsoft Edge".
Et c'est ainsi que vous protégez vos données personnelles pour le moment.
