Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Chromium pour Debian télécharge silencieusement un fichier binaire propriétaire
Permettant d'écouter les conversations des utilisateurs à leur insu

Le , par Malick

43PARTAGES

3  0 

La communauté Debian a récemment découvert que la dernière version du navigateur open source Chromium 43 téléchargeait silencieusement une extension (fichier binaire) contenant du code propriétaire au moment de son installation. Cette extension, baptisée « Chrome Hotword Shared Module » , s'intègre avec le microphone pour favoriser l'utilisation de la reconnaissance vocale au sein du navigateur ; permettant ainsi d'écouter les conversations des utilisateurs à leur insu. L'extension arriverait à faire cela en ajoutant à Chromium la célèbre fonctionnalité « OK Google » contenue dans les applications mobiles.

L'annonce du cette opération a été faite par l'utilisateur Yoshino Yoshihito sur la mailing list du projet Debian.

Selon la communauté Linux, le code source de ce module ne leur a pas été parvenu alors que le module continue à apporter des modifications importantes sur le navigateur Chromium, cela en activant le microphone de l'utilisateur sans aucune demande de permission.

Il convient de rappeler que des utilisateurs de Chromium, soucieux de la sécurité de leurs données avaient déjà commencé à réagir par rapport au téléchargement et à l'installation silencieuse de cette extension.

Face à ce problème, Google a répondu que ce module ou extension ne peut fonctionner que si l'utilisateur procède à l'activation de la fonctionnalité « OK Google » pour lancer la recherche vocale.

Réagissant à la réponse de Google, le fondateur du Parti Pirate suédois Rick Falkvinge affirme que Google est toujours en mesure d'écouter les conversations. Selon lui, la fonction de surveillance continue d'être fonctionnelle et le microphone reste ouvert.

Aujourd'hui, il est annoncé que Debian a supprimé le programme à partir de sa version de Chromium. Par ailleurs, Google aurait opté pour une solution plus facile en décidant d'extirper le fichier binaire à partir de la version 45 de Chromium.

Chromium est disponible en téléchargement pour Windows , Linux et Mac OS X.

Source

Et vous ?

Que pensez-vous de cette situation ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de RyzenOC
Inactif https://www.developpez.com
Le 23/06/2015 à 19:03
Je trouve cela scandaleux, ce qui prouve bien que l'on ne peut faire confiance a ce navigateur.

Je ne l'utilisait déjà pas avant, j'avais des doutes sur ce navigateur "sponsoriser par google", cette fois si c'est clair je reste sur firefox.
10  0 
Avatar de Jipété
Expert éminent sénior https://www.developpez.com
Le 23/06/2015 à 22:53
Citation Envoyé par sazearte Voir le message
cette fois si c'est clair je reste sur firefox.
Et si ça n'est pas clair, qu'est-ce que tu fais ?
8  2 
Avatar de Voïvode
Membre émérite https://www.developpez.com
Le 23/06/2015 à 22:25
Que pensez-vous de cette situation ?
Google sest montré une fois de plus hypocrite et peu digne de confiance. Une fois de plus.

Face à ce problème, Google a répondu que ce module ou extension ne peut fonctionner que si l'utilisateur procède à l'activation de la fonctionnalité « OK Google » pour lancer la recherche vocale.
Chromium étant dans le sous-répertoire main, cela signifie que ses paquets doivent se conformer à la lettre aux directives du DFSG. Si tel nest pas le cas, Chromium doit au minimum être déplacé en non-free. Un fork devrait même être envisagé pour écarter les indélicats qui ont permis cette manœuvre sournoise.
4  0 
Avatar de RyzenOC
Inactif https://www.developpez.com
Le 23/06/2015 à 22:41
Un fork devrait même être envisagé pour écarter les indélicats qui ont permis cette manœuvre sournoise.
Il fraudais les interdirent de toucher a un ordinateur a perpétuité tu veut dire !

Ce que je reproche, c'est pas la fonctionnalité en elle même, c'est de l'avoir introduite en douce, sans avertir personne, et en cachant le code, pour essayer de passer inaperçue !

Sa ouvre un débat bien plus large, combien de package sous linux sont infectés par ce genre de magouille ?, a qui faire confiance ?

A quand un serment d'Hippocrate en informatique.
4  0 
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 24/06/2015 à 1:15
Citation Envoyé par Wirbelwind Voir le message
Bien faire la distinction entre Google Chrome et Chromium

Le plus révoltant, c'est que c'est inclus dans Chromium, à savoir la version open-source et non pas dans Chrome avec le reste des bloatwares de Google ...
Sauf que l'image qui perdure encore du gentil Chromium opposé au méchant Chrome est bidon depuis le début.

Il faut voir que Chromium a beau être open-source, la direction de son évolution est complètement dépendante de Google, et on constate clairement qu'il est à chaque version un peu plus lié aux services de Google dont le respect de la vie privée n'est pas la principale qualité.

Citation Envoyé par Wirbelwind Voir le message
Si on voudrait pousser la paranoïa à fond, on pourrais aussi se méfier des repos en eux-même. Les packages binaires ( non-valable pour des sources ) dispo dessus peuvent tout aussi bien contenir une "fonctionnalité" en plus qu'on ne pourrais pas vraiment déceler, étant donné qu'ils ne contiennent uniquement des binaires, même si ces repos sont officiel, comment en être vraiment sûr ?
La plupart des distributions exigent de fournir dans un package séparé les sources qui permettent de reproduire la compilation du binaire.

Donc les paquets peuvent être régénérés et comparés si on est suspicieux.

Citation Envoyé par Ymer Leahcim Voir le message
j'ai eu raison...
l'article original de parle pas d'"écouter", mais juste des permissions d'activer le microphone.
Et un microphone activé peut écouter : CQFD. Après il n'y a certainement pas, pour le moment, transmission de l'intégralité de ce qu'entend le micro à Google, mais le fait qu'il s'agisse d'un blob binaire incite quand même à la méfiance.
3  0 
Avatar de cchatelain
Expert éminent https://www.developpez.com
Le 23/06/2015 à 14:47
Il convient de rappeler que des utilisateurs de Chromium, soucieux de la sécurité de leurs données, avaient déjà commencé à réagir par rapport au téléchargement et à l'installation silencieuse de cette extension.
J'imagine que chez les utilisateurs debian la sécurité est une thématique mieux connue.
C'était pas super malin.
1  0 
Avatar de Wirbelwind
Membre régulier https://www.developpez.com
Le 23/06/2015 à 22:38
Citation Envoyé par sazearte Voir le message
Je trouve cela scandaleux, ce qui prouve bien que l'on ne peut faire confiance a ce navigateur.

Je ne l'utilisait déjà pas avant, j'avais des doutes sur ce navigateur "sponsoriser par google", cette fois si c'est clair je reste sur firefox.
Bien faire la distinction entre Google Chrome et Chromium

Le plus révoltant, c'est que c'est inclus dans Chromium, à savoir la version open-source et non pas dans Chrome avec le reste des bloatwares de Google ...

Mozilla aussi en ce moment est entrain de péter les plombs avec l'intégration d'un plugin proprio par défaut, l'extension Pocket, l'obligation de signer les extensions, etc.
3  2 
Avatar de Wirbelwind
Membre régulier https://www.developpez.com
Le 23/06/2015 à 23:08
Citation Envoyé par sazearte Voir le message
Sa ouvre un débat bien plus large, combien de package sous linux sont infectés par ce genre de magouille ?, a qui faire confiance ?
Si on voudrait pousser la paranoïa à fond, on pourrais aussi se méfier des repos en eux-même. Les packages binaires ( non-valable pour des sources ) dispo dessus peuvent tout aussi bien contenir une "fonctionnalité" en plus qu'on ne pourrais pas vraiment déceler, étant donné qu'ils ne contiennent uniquement des binaires, même si ces repos sont officiel, comment en être vraiment sûr ?

Il faut quand même avoir une certaine confiance vis-à-vis des fournisseurs de packages surtout pour les binaires.
1  0 
Avatar de Ymer Leahcim
Membre habitué https://www.developpez.com
Le 23/06/2015 à 23:29
Citation Envoyé par Ymer Leahcim Voir le message
est-on certain de la traduction de ce mot "écouter"?

je voudrais bien avoir l'article anglais.
Car si c'est comme le faux "scandale" de la NSA qui écoute toute la france c'est du pipi de chat.

Les différences de sens entre "écouter", "entendre","enregistrer","reconnaitre" sont énormes !
Except that the actual contents of the downloaded files in many ways
do not actually matter. Those files are nacl executables, which are
sandboxed in any nacl-enabled chromium, so barring a sandbox escape
included in the files, this is functionally the same as visiting any
nacl website (less the fact that hotword automatically gets microphone
permission, which itself is worth independent critique).
j'ai eu raison...
l'article original de parle pas d'"écouter", mais juste des permissions d'activer le microphone.

Et dire que ça choque personne de voir sous android 95% des applications demander le droit d'accès au carnet d'adresse, ou à la mémoire locale....
3  2 
Avatar de RyzenOC
Inactif https://www.developpez.com
Le 24/06/2015 à 8:06
j'ai eu raison...
l'article original de parle pas d'"écouter", mais juste des permissions d'activer le microphone.

Je crois qu'on avait tous compris que Google n'écoute pas tous le monde, mais peut écouter tous le monde sans le consentement de l'utilisateur.

Enfin moi, c'est comme cela que j'ai interprété l'article, et je ne vois ce que cela change de toute façon.
2  1