•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Voici pourquoi des experts en cybersécurité sont furieux contre Google Chrome

Une image montrant le logo de Google Chrome sur un fond blanc.

La version 69 de Google Chrome force la connexion au fureteur lorsqu'un utilisateur se connecte à un autre service de Google.

Photo : Google

Radio-Canada

« Un assaut contre la vie privée » (Nouvelle fenêtre), « des conséquences sérieuses sur l'intimité et la confiance » (Nouvelle fenêtre), des changements « injustifiés » (Nouvelle fenêtre) et « qui n'ont aucun sens »... Les experts et les sites spécialisés ne mâchent pas leurs mots pour parler de la dernière mise à jour de Google Chrome, qui modifie le comportement du compte Google.

Dans la version 69 de Chrome, dès qu’un utilisateur se connecte à un service de Google (Gmail, YouTube, Drive...), le fureteur se connecte lui aussi au même compte. Cette opération s’effectue automatiquement, sans que l’utilisateur en soit informé et sans qu’il ait donné son autorisation.

Auparavant, il était nécessaire de se connecter spécifiquement au fureteur, ce qui permettait par la suite d’activer certaines fonctions (comme le service Sync). Ce service permet de téléverser son historique de navigation, ses mots de passe, ses favoris et d’autres données dans le nuage pour les retrouver automatiquement lorsqu’on se connecte sur différents appareils.

Google s'explique

Selon Adrienne Porter Felt, une ingénieure assignée à Chrome, Sync n’est jamais activé par défaut, même avec la version 69 du fureteur.

Mme Porter Felt a expliqué sur Twitter que l’interface de Chrome avait été revue pour mieux indiquer lorsqu’une personne est connectée sur le navigateur. « Dans le passé, des gens se déconnectaient parfois d’un service et pensaient qu’ils n’étaient plus connectés à Chrome, ce qui pouvait poser problème sur un appareil partagé », a-t-elle écrit lundi (Nouvelle fenêtre).

Adrienne Porter Felt fait référence au fait que des utilisateurs ont pu obtenir les témoins de connexion (cookies) d’autres personnes lorsque deux comptes différents étaient utilisés sur un même ordinateur.

Des experts perplexes

Ces explications n’ont pas convaincu la communauté des experts en cybersécurité.

Pour Matthew Green, cryptographe et professeur à l’Université Johns Hopkins, les explications de Google sont insensées, notamment en ce qui a trait au fait que le service Sync n’est pas activé par défaut, malgré la connexion forcée à Chrome.

« Le consentement des utilisateurs compte, écrit M. Green dans son blogue (Nouvelle fenêtre). Pendant 10 ans, Google Chrome m’a demandé une simple question : "Voulez-vous vous connecter à votre compte Google?" Et, pendant 10 ans, j’ai répondu "non merci". Chrome continue de poser cette question, mais il ne respecte plus ma décision. »

Matthew Green pose aussi des questions auxquelles personne n’a encore répondu jusqu’ici. « Si j’utilise Chrome sans être connecté, puis que je me connecte et que j’active Sync, est-ce que mes données amassées alors que je n’étais pas connecté sont envoyées à Google? »

Un bris de confiance

Cet expert estime que le comportement de Google dans ce dossier érode la confiance des utilisateurs envers ses politiques ainsi que ses promesses en matière de sécurité et de respect de la vie privée.

« Si vous n’avez pas respecté mon refus de la plus importante option ayant trait à la vie privée dans Chrome, et que vous ne m’en avez même pas informé, pourquoi devrais-je avoir confiance en toute autre demande de consentement que vous m’envoyez? » s’interroge Matthew Green.

L’un de ses homologues, Bálint Szilakszi, explique (Nouvelle fenêtre) de son côté que Chrome était jusqu’ici un service pouvant être utilisé de façon complètement indépendante de l’écosystème de Google. Or, ce n’est plus le cas après ce changement, selon lui. Cela signifie que les utilisateurs qui se méfient déjà des autres services de Google pour des raisons de sécurité ou de vie privée devraient désormais se méfier également de Chrome.

Quelles autres options?

D’autres experts, dont Ryan Naraine (Nouvelle fenêtre), d’Intel, et John Graham-Cumming (Nouvelle fenêtre), de Cloudflare, ont joint leur voix au chœur de critiques, dont certaines appellent à abandonner Chrome au profit d’autres navigateurs considérés comme plus sécuritaires (comme Firefox).

Bien qu’il existe de nombreuses solutions de rechange à Chrome, ce navigateur est de très loin le plus utilisé sur la planète, rapporte StatCounter (Nouvelle fenêtre), avec 59,7 % de parts de marché contre 14,5 % pour Safari, son plus proche poursuivant. Firefox est en quatrième position, avec 4,9 % de parts de marché.

Vos commentaires

Veuillez noter que Radio-Canada ne cautionne pas les opinions exprimées. Vos commentaires seront modérés, et publiés s’ils respectent la nétiquette. Bonne discussion !

Cybersécurité

Techno