Chrome : l'outil de nettoyage intégré pourrait aussi analyser vos fichiers personnels et professionnels
Google s'explique sur son fonctionnement

Le , par Michael Guilloux

142PARTAGES

10  0 
Dans un souci d'améliorer la sécurité et la navigation sur Chrome, Google a annoncé en octobre dernier trois changements pour aider les utilisateurs de son navigateur sur Windows à supprimer des infections de logiciels indésirables. Parmi ces changements figurait Chrome Cleanup, un outil qui est censé doter le navigateur de fonctionnalités basiques d'antivirus. Chrome Cleanup existait déjà en tant que logiciel à part entière proposé par Google pour son navigateur, mais il est maintenant intégré à Chrome, avec une nouvelle interface, en plus d'embarquer un moteur de détection plus puissant : celui de la firme de sécurité ESET.

Depuis son annonce, on n'a plus entendu parler de Chrome Cleanup jusqu'il y a quelques jours. Sur Twitter, l'ingénieur en sécurité Kelly Shortridge travaillant pour BAE Systems explique en effet avoir constaté que Google Chrome analysait des fichiers sur son ordinateur Windows. Les fichiers analysés ne se trouvaient pas dans un répertoire système, précise-t-elle, mais dans le dossier « \Documents\ », donc éventuellement des fichiers personnels et professionnels.




En pratique, Chrome sur Windows analyse votre ordinateur pour rechercher d'éventuels logiciels indésirables qui ciblent le navigateur Chrome lui-même. « S'ils ne sont pas supprimés de votre système, ces logiciels peuvent effectuer des actions indésirables, comme modifier vos paramètres Chrome sans votre accord », explique l'entreprise dans son Livre blanc sur la confidentialité dans Google Chrome.

Lorsqu'un tel logiciel est détecté, vous pouvez être invité à utiliser l'outil de nettoyage de Chrome pour le supprimer. Et si vous acceptez d'exécuter l'outil, des métadonnées de fichiers et des paramètres système liés au logiciel indésirable seront inclus dans un rapport envoyé à Google. « Chrome inclura également des métadonnées sur les programmes installés ou en cours d'exécution sur votre système qui sont susceptibles d'être associés à des logiciels malveillants, tels que des services et des processus, des tâches programmées, des valeurs du registre système couramment utilisées par les logiciels malveillants, les paramètres de proxy Windows, ainsi que les modules logiciels chargés dans Chrome ou dans la pile réseau », peut-on lire dans le Livre blanc. Vous pouvez toutefois désactiver le partage de ces données en décochant la case « Envoyer les informations à Google » avant le nettoyage.


« Dans le climat actuel, cela m'a vraiment choqué que Google déploie si discrètement cette fonctionnalité sans publier de documentation plus détaillée, » s'explique Kelly Shortridge auprès du média Vice. Elle reconnait que leurs intentions sont clairement axées sur la sécurité, mais dénonce « le manque de consentement explicite et de transparence » qui, selon elle, semble enfreindre le propre règlement de Google relatif aux logiciels indésirables. Son tweet a attiré l'attention de la communauté de la sécurité, et Google a également réagi pour donner des éclaircissements.

Comme l'explique Justin Schuh, responsable de la sécurité de Google Chrome sur Twitter, « l'unique but de l'outil est de détecter et de supprimer les logiciels indésirables qui manipulent Chrome. » Il assure dans une série de tweets que toutes les analyses effectuées sont locales et sont beaucoup plus restreintes et moins invasives que celles des antivirus et antimalwares classiques. « L'outil de nettoyage de Chrome n'est pas un antivirus à usage général. Il est analogue à [l'outil de suppression de logiciels malveillants] MSRT de Microsoft, mais limité à Chrome. Le seul but de [Chrome Cleanup] est de détecter et de supprimer les logiciels indésirables manipulant Chrome », dit-il dans un tweet.

Dans un autre message sur Twitter, en réponse à de nombreuses questions, il ajoute que Chrome Cleanup n'est pas un outil d'analyse du système complet. Il fonctionnerait également de manière hebdomadaire, pendant 15 minutes maximum, en plus de s'exécuter en arrière-plan et avec les « privilèges utilisateur normaux ». Cela signifie qu'il n'irait pas trop loin dans le système. Il précise par ailleurs que « la collecte de données potentielle et les consentements associés sont décrits dans le livre blanc sur la confidentialité de Chrome et chaque action de nettoyage nécessite une approbation explicite de l'utilisateur. »

Un problème demeure cependant. Il n'existe pas de paramètre Chrome pour désactiver cette fonctionnalité. Cela semble logique étant donné que l'outil était autonome avant d'être intégré à Chrome. Cette intégration aurait donc pour but d'amener tout le monde à l'utiliser. Il faut noter que cela concerne également les entreprises, à la surprise Justin Schuh qui croyait pourtant qu'il y avait une politique d'entreprise pour désactiver la fonctionnalité. Il dit donc avoir demandé à son équipe de chercher des solutions possibles pour répondre aux préoccupations des entreprises.




Le problème est qu'il faut arbitrer entre donner la possibilité de ne pas opter pour cette fonctionnalité et le risque que des logiciels indésirables abusent de Chrome. On ne peut donc pas actuellement empêcher l'outil d'analyser son PC, mais au moins, on a le contrôle sur la possibilité d'envoyer des informations à Google. Et en fin de compte, Google ne dit pas non plus pourquoi l'outil analyse les fichiers dans les Documents, mais est-ce un problème ?

Sources : Vice, Kelly Shortridge (Twitter), Justin Schuh (Twitter), Livre blanc sur la confidentialité de Chrome

Et vous ?

Qu'en pensez-vous ?
Y a-t-il de quoi s'inquiéter ?

Voir aussi :

Chrome 65 est disponible avec de nouvelles fonctionnalités développeur, la page d'extensions se met également au Material Design
Clang est maintenant utilisé pour compiler Chrome pour Windows, Google abandonne donc Visual C++, et en voici les raisons
Chrome 66 bloquera la lecture automatique des contenus multimédias exécutés sur les pages web avec le son, Google fait des recommandations à la suite

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Anselme45
Membre expérimenté https://www.developpez.com
Le 03/04/2018 à 21:49
Oh! Il y avait longtemps que l'on nous avez plus fait le coup:

"On vous enc*le, mais c'est pour vous rendre servir!"

Le monde merveilleux du numérique me fait de plus en plus penser au Far West... Pas celui de John Wayne... Celui sans morale et sans éthique... A gerber!
1  0 
Avatar de marsupial
Membre expert https://www.developpez.com
Le 03/04/2018 à 20:01
J'aurai du marquer d'une pierre blanche le jour où j'ai migré vers GNU/Linux, parce qu'entre un Windows 10 qui fourre son nez partout et Chrome qui fouille mes Documents, la bataille devient rude pour préserver sa vie privée...
1  1 
Avatar de sebastiano
Membre extrêmement actif https://www.developpez.com
Le 04/04/2018 à 15:35
Citation Envoyé par Anselme45 Voir le message
Oh! Il y avait longtemps que l'on nous avez plus fait le coup:

"On vous enc*le, mais c'est pour vous rendre servir!"

Le monde merveilleux du numérique me fait de plus en plus penser au Far West... Pas celui de John Wayne... Celui sans morale et sans éthique... A gerber!
Euh, vous désignez justement celui de John Wayne, le Far West était loin d'être comment vous le décrivez, c'est-à-dire très hollywoodien.
0  0 

 
Programmation : les travailleurs doivent-ils disposer d'un plan B avant leurs 40 ans ?
Flutter, le framework UI de Google, serait-il meilleur que React Native de Facebook
Les développeurs logiciels actifs sont actuellement estimés à un peu moins de 19 millions dans le monde, 13 millions d'entre eux seraient des pros
Typo et design pour écran de collectif, un livre de Laurence Seguin, critique de David Bleuse
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web