Chromium pour Debian télécharge silencieusement un fichier binaire propriétaire
Permettant d'écouter les conversations des utilisateurs à leur insu
Le 2015-06-23 13:58:16, par Malick, Community Manager
La communauté Debian a récemment découvert que la dernière version du navigateur open source Chromium 43 téléchargeait silencieusement une extension (fichier binaire) contenant du code propriétaire au moment de son installation. Cette extension, baptisée « Chrome Hotword Shared Module » , s'intègre avec le microphone pour favoriser l'utilisation de la reconnaissance vocale au sein du navigateur ; permettant ainsi d'écouter les conversations des utilisateurs à leur insu. L'extension arriverait à faire cela en ajoutant à Chromium la célèbre fonctionnalité « OK Google » contenue dans les applications mobiles.
L'annonce du cette opération a été faite par l'utilisateur Yoshino Yoshihito sur la mailing list du projet Debian.
Selon la communauté Linux, le code source de ce module ne leur a pas été parvenu alors que le module continue à apporter des modifications importantes sur le navigateur Chromium, cela en activant le microphone de l'utilisateur sans aucune demande de permission.
Il convient de rappeler que des utilisateurs de Chromium, soucieux de la sécurité de leurs données avaient déjà commencé à réagir par rapport au téléchargement et à l'installation silencieuse de cette extension.
Face à ce problème, Google a répondu que ce module ou extension ne peut fonctionner que si l'utilisateur procède à l'activation de la fonctionnalité « OK Google » pour lancer la recherche vocale.
Réagissant à la réponse de Google, le fondateur du Parti Pirate suédois Rick Falkvinge affirme que Google est toujours en mesure d'écouter les conversations. Selon lui, la fonction de surveillance continue d'être fonctionnelle et le microphone reste ouvert.
Aujourd'hui, il est annoncé que Debian a supprimé le programme à partir de sa version de Chromium. Par ailleurs, Google aurait opté pour une solution plus facile en décidant d'extirper le fichier binaire à partir de la version 45 de Chromium.
Chromium est disponible en téléchargement pour Windows , Linux et Mac OS X.
Source
Et vous ?
-
RyzenOCInactifJe trouve cela scandaleux, ce qui prouve bien que l'on ne peut faire confiance a ce navigateur.
Je ne l'utilisait déjà pas avant, j'avais des doutes sur ce navigateur "sponsoriser par google", cette fois si c'est clair je reste sur firefox.le 23/06/2015 à 19:03 -
JipétéExpert éminent séniorle 23/06/2015 à 22:53
-
VoyvodeMembre émérite
Que pensez-vous de cette situation ? Face à ce problème, Google a répondu que ce module ou extension ne peut fonctionner que si l'utilisateur procède à l'activation de la fonctionnalité « OK Google » pour lancer la recherche vocale.le 23/06/2015 à 22:25 -
RyzenOCInactifUn fork devrait même être envisagé pour écarter les indélicats qui ont permis cette manœuvre sournoise.
Ce que je reproche, c'est pas la fonctionnalité en elle même, c'est de l'avoir introduite en douce, sans avertir personne, et en cachant le code, pour essayer de passer inaperçue !
Sa ouvre un débat bien plus large, combien de package sous linux sont infectés par ce genre de magouille ?, a qui faire confiance ?
A quand un serment d'Hippocrate en informatique.le 23/06/2015 à 22:41 -
UtherExpert éminent séniorSauf que l'image qui perdure encore du gentil Chromium opposé au méchant Chrome est bidon depuis le début.
Il faut voir que Chromium a beau être open-source, la direction de son évolution est complètement dépendante de Google, et on constate clairement qu'il est à chaque version un peu plus lié aux services de Google dont le respect de la vie privée n'est pas la principale qualité.
La plupart des distributions exigent de fournir dans un package séparé les sources qui permettent de reproduire la compilation du binaire.
Donc les paquets peuvent être régénérés et comparés si on est suspicieux.
Et un microphone activé peut écouter : CQFD. Après il n'y a certainement pas, pour le moment, transmission de l'intégralité de ce qu'entend le micro à Google, mais le fait qu'il s'agisse d'un blob binaire incite quand même à la méfiance.le 24/06/2015 à 1:15 -
cchatelainExpert éminentIl convient de rappeler que des utilisateurs de Chromium, soucieux de la sécurité de leurs données, avaient déjà commencé à réagir par rapport au téléchargement et à l'installation silencieuse de cette extension.
C'était pas super malin.le 23/06/2015 à 14:47 -
WirbelwindMembre régulierBien faire la distinction entre Google Chrome et Chromium
Le plus révoltant, c'est que c'est inclus dans Chromium, à savoir la version open-source et non pas dans Chrome avec le reste des bloatwares de Google ...
Mozilla aussi en ce moment est entrain de péter les plombs avec l'intégration d'un plugin proprio par défaut, l'extension Pocket, l'obligation de signer les extensions, etc.le 23/06/2015 à 22:38 -
WirbelwindMembre régulierSi on voudrait pousser la paranoïa à fond, on pourrais aussi se méfier des repos en eux-même. Les packages binaires ( non-valable pour des sources ) dispo dessus peuvent tout aussi bien contenir une "fonctionnalité" en plus qu'on ne pourrais pas vraiment déceler, étant donné qu'ils ne contiennent uniquement des binaires, même si ces repos sont officiel, comment en être vraiment sûr ?
Il faut quand même avoir une certaine confiance vis-à-vis des fournisseurs de packages surtout pour les binaires.le 23/06/2015 à 23:08 -
Ymer LeahcimMembre habituéExcept that the actual contents of the downloaded files in many ways
do not actually matter. Those files are nacl executables, which are
sandboxed in any nacl-enabled chromium, so barring a sandbox escape
included in the files, this is functionally the same as visiting any
nacl website (less the fact that hotword automatically gets microphone
permission, which itself is worth independent critique).
l'article original de parle pas d'"écouter", mais juste des permissions d'activer le microphone.
Et dire que ça choque personne de voir sous android 95% des applications demander le droit d'accès au carnet d'adresse, ou à la mémoire locale....le 23/06/2015 à 23:29 -
RyzenOCInactifj'ai eu raison...
l'article original de parle pas d'"écouter", mais juste des permissions d'activer le microphone.
Je crois qu'on avait tous compris que Google n'écoute pas tous le monde, mais peut écouter tous le monde sans le consentement de l'utilisateur.
Enfin moi, c'est comme cela que j'ai interprété l'article, et je ne vois ce que cela change de toute façon.le 24/06/2015 à 8:06