L'attrait de Google Chrome repose depuis longtemps sur ses mises à jour sans heurts. Mais peut-être plus maintenant. La dernière version de Chrome étant déjà installée sur des centaines de millions d'ordinateurs et de smartphones dans le monde, un danger important a été révélé, et vous pourriez ne pas apprécier.
Découvert par The Register, Chrome 80 (vérifiez votre version en allant dans Paramètres > À propos de Chrome) contient une nouvelle fonctionnalité de navigateur appelée ScrollToTextFragment. Il s'agit d'une technologie de liens profonds liée au texte des sites web, mais de multiples sources ont révélé qu'il s'agit d'un cauchemar potentiellement envahissant pour la vie privée.
Mise à jour du 22 février : alors que Google est actuellement sous pression pour de nouveaux problèmes de confidentialité au sein de Chrome 80, la société a maintenant publié son propre avertissement concernant le nouveau navigateur Edge de Microsoft, basé sur Chrome. Google avertit que, bien que techniquement compatible, l'installation des extensions Chrome sur Edge entraîne des vulnérabilités de sécurité. Pour souligner ce point, Google émet une fenêtre contextuelle à chaque utilisateur d'Edge qui visite la boutique en ligne de Chrome, indiquant qu'il "recommande de passer à Chrome pour utiliser les extensions en toute sécurité". À ce jour, aucun rapport n'a été publié sur des compromissions de sécurité liées à l'utilisation d'Edge avec les extensions Chrome, y compris de la part de Microsoft lui-même. Il reste donc à voir s'il existe un risque réel ou s'il s'agit d'une tactique de peur de la part de Google, qui cherche à protéger sa position sur le marché contre le nouveau navigateur ambitieux de Microsoft. Dans tous les cas, vous devez rester vigilant.
Pour comprendre pourquoi, il faut un bref guide sur le fonctionnement de ScrollToTextFragment. La version simple est qu'elle permet à Google d'indexer des sites web et de partager des liens à partir d'un seul mot de texte et sa position sur la page. Pour ce faire, il crée ses propres ancres au texte (en utilisant le format : #:~:texte=[préfixe-,]texteDébut[,texteFin][,-suffixe]) et ne nécessite pas l'autorisation de l'auteur de la page web pour ce faire. Google donne l'exemple inoffensif :
"[https://en.wikipedia.org/wiki/Cat#:~:text=Sur les îles, les oiseaux peuvent représenter jusqu'à 60 % du régime alimentaire d'un chat] Ceci charge la page pour Cat, met en évidence le texte spécifié et le fait défiler directement".
La capacité des liens profonds de ScrollToTextFragment peut être très utile pour partager des liens très spécifiques vers des parties de pages web. Le problème est qu'elle peut également être exploitée. Avertissement concernant le développement de ScrollToTextFragment en décembre, a expliqué Peter Snyder, chercheur en matière de protection de la vie privée chez Brave Browser :
"Imaginez une situation dans laquelle je peux visualiser le trafic DNS (par exemple, le réseau de l'entreprise) et j'envoie un lien vers le portail de santé de l'entreprise, avec [l'ancre] #:~:text=cancer. Sur certaines mises en page, je pourrais être en mesure de dire si l'employé a un cancer en recherchant les ressources demandées en bas de page".
Et c'est Snyder qui a remarqué que ScrollToTextFragment est maintenant actif dans Chrome 80, déclarant que "imposer des fuites de confidentialité et de sécurité aux sites existants (dont beaucoup ne seront jamais mis à jour) devrait VRAIMENT être la ligne rouge "ne pas casser le web", à ne jamais traverser. C'est ce que fait cette spécification".
David Baron, ingénieur principal chez Mozilla, développeur de Firefox, a également mis en garde contre le développement de ScrollToTextFragment, en déclarant "Mon opinion de spécialiste ici est que c'est une fonctionnalité vraiment précieuse, mais elle pourrait aussi en être une où toutes les solutions possibles ont des problèmes majeurs."
Défendant la décision, les ingénieurs de Google ont publié un document exposant les avantages et les inconvénients de la technologie de liens profonds dans ScrollToTextFragment et l'ingénieur David Bokan, spécialiste de chrome, a écrit cette semaine que "nous avons discuté de cette question et d'autres problèmes avec notre équipe de sécurité et, pour résumer, nous comprenons le problème mais ne sommes pas d'accord sur la gravité, donc nous procédons à l'autorisation sans exiger d'opt-in".
Bokan dit que la société travaillera sur une option de non-participation, mais combien d'entre eux sauront même que ScrollToTextFragment existe ? Et c'est là que se trouve le nœud du problème : Google a un tel pouvoir qu'il peut être juge et partie pour décider de ce qui est ou n'est pas acceptable. Ainsi, ScrollToTextFragment, avec ses problèmes de confidentialité non résolus et le manque de soutien des autres fabricants de navigateurs, est maintenant disponible, en arrière-plan de centaines de millions d'installations de Chrome.
C'est à vous de décider si vous voulez en faire partie.
source :
https://www.forbes.com/sites/gordonkelly/2020/02/22/google-chrome-80-upgrade-deep-linking-update-chrome-browser/