Google surveille une grande partie de votre activité, y compris votre historique de navigation et votre localisation. À présent, il s’avère que son service YouTube lit également ce qui se trouve dans vos vidéos en ligne.
Le programmeur Austin Burk, surnommé Sudofox, a soulevé ce problème après avoir découvert une faille XSS (cross-site scripting) sur un autre site.
Pour tenter de la divulguer de manière responsable, il a uploadé une vidéo de l’exploit sur YouTube, sous la forme d’une vidéo non répertoriée, afin de pouvoir la montrer aux parties concernées.
La vidéo affichait une URL sous son contrôle qu’il utilisait pour tester son exploit XSS. Après avoir uploadé la vidéo, il a vérifié que personne n’avait visité l’URL, à part quelques hits provenant d’un user agent appelé Google-Youtube-Links. Un user agent est la carte d’appel que le logiciel utilise pour annoncer de quel programme il s’agit lorsqu’il visite une URL. Il met en avant la seule explication suivante :
C’est alors que j’ai réalisé que pendant la vidéo, ces URL étaient visibles dans la barre d’adresse. Il semble que YouTube ait utilisé la reconnaissance optique de caractères (OCR) sur l’ensemble de ma vidéo et ait décidé d’analyser les liens qu’elle contenait.
YouTube propose plusieurs classifications aux personnes qui uploadent des vidéos sur son site. “Non répertorié” permet à quiconque de les afficher tant qu’elles contiennent le lien, mais elles apparaîtront pas dans les recherches ou les recommandations sur YouTube. “Privé” permet aux personnes de visionner les vidéos en ligne uniquement si l’uploader les y invite spécifiquement.
Pour s’assurer qu’il n’avait pas commis d’erreur, il a décidé de tenter l’expérience en soumettant une vidéo privée contenant un dossier et un fichier sur son propre domaine, qui n’existe pas. Environ cinq minutes après l’uploading de la vidéo, l’URL inexistante a reçu plusieurs hits du même user agent Google-Youtube-Links.
Cela a effrayé Burk, qui a déclaré que cela pourrait causer des problèmes à des experts sécurité qui souhaiteraient révéler une vulnérabilité. Un scénario qu’il a suggéré serait celui d’un chercheur utilisant une vidéo privée sur YouTube pour révéler une vulnérabilité concernant une injection SQL, par exemple. Le chercheur peut utiliser la vidéo pour divulguer l’URL malveillante, mais ni le chercheur ni l’entreprise, qui réalisent cette divulgation, ne veulent la visiter, car cela déclencherait l’attaque, voire la perte des tables. Cependant, si YouTube supprime l’URL dans la vidéo et la consulte, cela pourrait activer la faille, selon lui.
Nous avons sympathisé avec Burk, qui a fait part de ses préoccupations :
Honnêtement, je trouve cela plutôt dérangeant, en particulier pour l’utilisation de vidéos en ligne, privées ou non répertoriées, sur Youtube comme moyen d’uploader rapidement une vidéo afin de révéler une vulnérabilité. Je suis sûr que vous pouvez penser à d’autres scénarios dans lesquels cela ne serait pas souhaitable, d’autant plus que nous ne savons pas pourquoi cela se produit, ni où ces URL vont se retrouver.
Mais il se peut que les principes de divulgation responsable et la nature même de YouTube soient incompatibles. Comme le souligne Paul Ducklin, les communications chiffrées que vous contrôlez vous-même ont beaucoup plus de sens :
Ce serait bien que Google ne fasse pas ce genre de scraping des URL de vidéos en ligne, mais si vous êtes un chercheur en sécurité et que vous envisagez d’envoyer un rapport de divulgation responsable en privé à un éditeur … eh bien, je ne suis tout simplement pas convaincu que YouTube convienne pour transmettre votre message, et ce même si l’éditeur est Google lui-même !
Néanmoins, cette nouvelle révèle un autre détail peu connu sur la façon dont YouTube traite vos données.
Combien avons-nous d’inconnues supplémentaires, ici, et quelles sont leurs implications ? YouTube connaît-il la plaque d’immatriculation du véhicule figurant dans votre dernière vidéo ou le slogan inscrit sur votre t-shirt ? Qu’en est-il des autres sites de vidéos en ligne ? Nous ne savons tout simplement pas, et c’est plutôt effrayant !
D’autre part, si Google ne fait pas preuve de toute la prudence n”cessaire à l’égard des vidéos en ligne que les internautes uploadent, l’entreprise sera certainement accusée de ne pas protéger correctement les internautes vis à vis des contenus illicites et offensants sur internet. Cette prudence raisonnable pourrait facilement inclure la lecture et la vérification des URL dans les vidéos.
Dans tous les cas, ce cas doit vous alerter de nouveau sur la nécessité de ne pas télécharger des informations privées sur un site public gratuit, même si votre publication est censée être privée.
Billet inspiré de YouTube is reading text in users’ videos, sur Sophos nakedsecurity.