Dans la série protection de la vie privée… rappelez-vous l’an dernier, un bug Chrome dans Google qui donnait aux pirates la possibilité de voler des films en streaming ?
Et bien, nous sommes prêts pour un gros plan, monsieur DeMille ! Cette fois, nous sommes potentiellement les stars des films de hackers : en effet, il existe “bug Chrome” dans Google (selon la personne à qui vous posez la question), qui permet à des sites d’enregistrer secrètement l’audio et la vidéo, le tout sans l’activation des voyants lumineux.
Comme l’a déclaré Bleeping Computer, le développeur Web d’AOL Ran Bar-Zik a découvert le problème, que Google considère ne pas être une vulnérabilité, alors qu’il travaillait et était connecté à un site web qui utilisait le code WebRTC.
WebRTC est un protocole permettant de diffuser du contenu audio et vidéo en streaming sur internet via des connexions peer-to-peer.
Concernant l’affirmation : “il ne s’agit pas d’une faille de sécurité”, un utilisateur a dû d’abord accorder la permission au site avant d’accéder à l’audio et à la vidéo. Une fois qu’un site reçoit l’autorisation de diffuser de l’audio et de la vidéo, il peut exécuter un code JavaScript qui enregistre du contenu audio et vidéo avant d’envoyer le contenu à d’autres participants au sein d’un flux WebRTC, comme l’explique le rapport sur ce bug Chrome émis par Bar-Zik.
La chose est que le JavaScript ne doit pas nécessairement être exécuté dans le même onglet où l’autorisation a été accordée. Il peut enregistrer sur un onglet séparé qui n’affiche pas le fameux point rouge qui indique que WebRTC enregistre. Ainsi, après l’autorisation donnée, le site peut écouter l’utilisateur, à chaque fois que le site ou un pirate le désire.
Le processus d’enregistrement est mis en oeuvre via l’API MediaRecorder basée sur JavaScript, selon BleepingComputer.
Bar-Zik a signalé le problème et a eu un retour de Google le même jour. L’argument était que l’icône rouge d’enregistrement n’est pas présente dans toutes les versions de Chrome, de sorte que la véritable façon de se défendre contre une attaque serait au niveau du menu contextuel des autorisations. Voici la vision de Google :
Ce n’est vraiment pas une vulnérabilité, par exemple WebRTC sur un appareil mobile ne montre aucun indicateur au niveau du navigateur. Le point est une initiative qui ne fonctionne que sur les PC de bureau, lorsque nous disposons d’un environnement Chrome UI disponible. Cela étant dit, nous cherchons des moyens d’améliorer cette situation.
Bar-Zik n’y croit pas. Il dit qu’il serait très facile de duper une victime qui serait fatiguée du processus des autorisations : “Je ne veux pas lire une autre fenêtre pop-up, je vais juste cliquer sur OK”.
“Les attaques dans le monde réel ne seront pas très évidentes”, a-t-il déclaré à BleepingComputer. À partir du rapport :
Par exemple, Bar-Zik soutient qu’un cybercriminel pourrait utiliser de très petites fenêtres pop-up pour lancer le code d’attaque. Ce code pourrait utiliser l’appareil photo pendant une milliseconde pour prendre la photo d’un utilisateur, ou pendant des heures, en enregistrant les mouvements de l’utilisateur ou les sons environnants.
Si l’utilisateur ne remarque pas la fenêtre pop-up dans sa barre d’outils, alors il n’y aura pas d’indicateur visuel pour lui indiquer que quelqu’un est en train d’accéder à ses composants audio et vidéo. L’un des scénarios le plus sournois serait si le cybercriminel dissimule la fenêtre pop-up sous l’aspect d’une publicité banale. Si l’utilisateur ne ferme pas immédiatement l’annonce, un hacker restera avec un canal de surveillance ouvert au niveau du PC de l’utilisateur.
Le cybercriminel n’aurait même pas à créer un site web pour voler l’autorisation d’enregistrement, a-t-il déclaré. A la place, il pourra exploiter un bug cross-site scripting (XSS), également connu comme étant des attaques sur internet qui refusent de mourir, au niveau de sites web officiels qui ont déjà bénéficié d’un accès audio et vidéo.
Bug Chrome ? ou pas bug ? Il est tout de même question de protection de la vie privée, néanmoins vous pouvez décider par vous-même : Bar-Zik a mis en place une démonstration inoffensive qui vous demande l’autorisation, lance une fenêtre pop-up lorsque vous cliquez sur OK, enregistre 20 secondes d’audio et fournit un lien de téléchargement pour consulter le fichier enregistré.
Le code de la preuve de concept est également disponible pour téléchargement ici.
Billet inspiré de Chrome bug that lets sites secretly record you ‘not a flaw’, insists Google, sur Sophos nakedsecurity.