Depuis son annonce, on n'a plus entendu parler de Chrome Cleanup jusqu'il y a quelques jours. Sur Twitter, l'ingénieur en sécurité Kelly Shortridge travaillant pour BAE Systems explique en effet avoir constaté que Google Chrome analysait des fichiers sur son ordinateur Windows. Les fichiers analysés ne se trouvaient pas dans un répertoire système, précise-t-elle, mais dans le dossier « \Documents\ », donc éventuellement des fichiers personnels et professionnels.
En pratique, Chrome sur Windows analyse votre ordinateur pour rechercher d'éventuels logiciels indésirables qui ciblent le navigateur Chrome lui-même. « S'ils ne sont pas supprimés de votre système, ces logiciels peuvent effectuer des actions indésirables, comme modifier vos paramètres Chrome sans votre accord », explique l'entreprise dans son Livre blanc sur la confidentialité dans Google Chrome.
Lorsqu'un tel logiciel est détecté, vous pouvez être invité à utiliser l'outil de nettoyage de Chrome pour le supprimer. Et si vous acceptez d'exécuter l'outil, des métadonnées de fichiers et des paramètres système liés au logiciel indésirable seront inclus dans un rapport envoyé à Google. « Chrome inclura également des métadonnées sur les programmes installés ou en cours d'exécution sur votre système qui sont susceptibles d'être associés à des logiciels malveillants, tels que des services et des processus, des tâches programmées, des valeurs du registre système couramment utilisées par les logiciels malveillants, les paramètres de proxy Windows, ainsi que les modules logiciels chargés dans Chrome ou dans la pile réseau », peut-on lire dans le Livre blanc. Vous pouvez toutefois désactiver le partage de ces données en décochant la case « Envoyer les informations à Google » avant le nettoyage.
« Dans le climat actuel, cela m'a vraiment choqué que Google déploie si discrètement cette fonctionnalité sans publier de documentation plus détaillée, » s'explique Kelly Shortridge auprès du média Vice. Elle reconnait que leurs intentions sont clairement axées sur la sécurité, mais dénonce « le manque de consentement explicite et de transparence » qui, selon elle, semble enfreindre le propre règlement de Google relatif aux logiciels indésirables. Son tweet a attiré l'attention de la communauté de la sécurité, et Google a également réagi pour donner des éclaircissements.
Comme l'explique Justin Schuh, responsable de la sécurité de Google Chrome sur Twitter, « l'unique but de l'outil est de détecter et de supprimer les logiciels indésirables qui manipulent Chrome. » Il assure dans une série de tweets que toutes les analyses effectuées sont locales et sont beaucoup plus restreintes et moins invasives que celles des antivirus et antimalwares classiques. « L'outil de nettoyage de Chrome n'est pas un antivirus à usage général. Il est analogue à [l'outil de suppression de logiciels malveillants] MSRT de Microsoft, mais limité à Chrome. Le seul but de [Chrome Cleanup] est de détecter et de supprimer les logiciels indésirables manipulant Chrome », dit-il dans un tweet.
Dans un autre message sur Twitter, en réponse à de nombreuses questions, il ajoute que Chrome Cleanup n'est pas un outil d'analyse du système complet. Il fonctionnerait également de manière hebdomadaire, pendant 15 minutes maximum, en plus de s'exécuter en arrière-plan et avec les « privilèges utilisateur normaux ». Cela signifie qu'il n'irait pas trop loin dans le système. Il précise par ailleurs que « la collecte de données potentielle et les consentements associés sont décrits dans le livre blanc sur la confidentialité de Chrome et chaque action de nettoyage nécessite une approbation explicite de l'utilisateur. »
Un problème demeure cependant. Il n'existe pas de paramètre Chrome pour désactiver cette fonctionnalité. Cela semble logique étant donné que l'outil était autonome avant d'être intégré à Chrome. Cette intégration aurait donc pour but d'amener tout le monde à l'utiliser. Il faut noter que cela concerne également les entreprises, à la surprise Justin Schuh qui croyait pourtant qu'il y avait une politique d'entreprise pour désactiver la fonctionnalité. Il dit donc avoir demandé à son équipe de chercher des solutions possibles pour répondre aux préoccupations des entreprises.
Le problème est qu'il faut arbitrer entre donner la possibilité de ne pas opter pour cette fonctionnalité et le risque que des logiciels indésirables abusent de Chrome. On ne peut donc pas actuellement empêcher l'outil d'analyser son PC, mais au moins, on a le contrôle sur la possibilité d'envoyer des informations à Google. Et en fin de compte, Google ne dit pas non plus pourquoi l'outil analyse les fichiers dans les Documents, mais est-ce un problème ?
Sources : Vice, Kelly Shortridge (Twitter), Justin Schuh (Twitter), Livre blanc sur la confidentialité de Chrome
Et vous ?
Qu'en pensez-vous ?
Y a-t-il de quoi s'inquiéter ?
Voir aussi :
Chrome 65 est disponible avec de nouvelles fonctionnalités développeur, la page d'extensions se met également au Material Design
Clang est maintenant utilisé pour compiler Chrome pour Windows, Google abandonne donc Visual C++, et en voici les raisons
Chrome 66 bloquera la lecture automatique des contenus multimédias exécutés sur les pages web avec le son, Google fait des recommandations à la suite