Developpez.com

Le Club des Développeurs et IT Pro

Chromium pour Debian télécharge silencieusement un fichier binaire propriétaire

Permettant d'écouter les conversations des utilisateurs à leur insu

Le 2015-06-23 13:58:16, par Malick, Community Manager

La communauté Debian a récemment découvert que la dernière version du navigateur open source Chromium 43 téléchargeait silencieusement une extension (fichier binaire) contenant du code propriétaire au moment de son installation. Cette extension, baptisée « Chrome Hotword Shared Module » , s'intègre avec le microphone pour favoriser l'utilisation de la reconnaissance vocale au sein du navigateur ; permettant ainsi d'écouter les conversations des utilisateurs à leur insu. L'extension arriverait à faire cela en ajoutant à Chromium la célèbre fonctionnalité « OK Google » contenue dans les applications mobiles.

L'annonce du cette opération a été faite par l'utilisateur Yoshino Yoshihito sur la mailing list du projet Debian.

Selon la communauté Linux, le code source de ce module ne leur a pas été parvenu alors que le module continue à apporter des modifications importantes sur le navigateur Chromium, cela en activant le microphone de l'utilisateur sans aucune demande de permission.

Il convient de rappeler que des utilisateurs de Chromium, soucieux de la sécurité de leurs données avaient déjà commencé à réagir par rapport au téléchargement et à l'installation silencieuse de cette extension.

Face à ce problème, Google a répondu que ce module ou extension ne peut fonctionner que si l'utilisateur procède à l'activation de la fonctionnalité « OK Google » pour lancer la recherche vocale.

Réagissant à la réponse de Google, le fondateur du Parti Pirate suédois Rick Falkvinge affirme que Google est toujours en mesure d'écouter les conversations. Selon lui, la fonction de surveillance continue d'être fonctionnelle et le microphone reste ouvert.

Aujourd'hui, il est annoncé que Debian a supprimé le programme à partir de sa version de Chromium. Par ailleurs, Google aurait opté pour une solution plus facile en décidant d'extirper le fichier binaire à partir de la version 45 de Chromium.

Chromium est disponible en téléchargement pour Windows , Linux et Mac OS X.

Source

Et vous ?

Que pensez-vous de cette situation ?
  Discussion forum
29 commentaires
  • RyzenOC
    Inactif
    Je trouve cela scandaleux, ce qui prouve bien que l'on ne peut faire confiance a ce navigateur.

    Je ne l'utilisait déjà pas avant, j'avais des doutes sur ce navigateur "sponsoriser par google", cette fois si c'est clair je reste sur firefox.
    le 23/06/2015 à 19:03
  • Jipété
    Expert éminent sénior
    Envoyé par sazearte
    cette fois si c'est clair je reste sur firefox.
    Et si ça n'est pas clair, qu'est-ce que tu fais ?
    le 23/06/2015 à 22:53
  • Voyvode
    Membre émérite
    Que pensez-vous de cette situation ?
    Google sest montré une fois de plus hypocrite et peu digne de confiance. Une fois de plus.

    Face à ce problème, Google a répondu que ce module ou extension ne peut fonctionner que si l'utilisateur procède à l'activation de la fonctionnalité « OK Google » pour lancer la recherche vocale.
    Chromium étant dans le sous-répertoire main, cela signifie que ses paquets doivent se conformer à la lettre aux directives du DFSG. Si tel nest pas le cas, Chromium doit au minimum être déplacé en non-free. Un fork devrait même être envisagé pour écarter les indélicats qui ont permis cette manœuvre sournoise.
    le 23/06/2015 à 22:25
  • RyzenOC
    Inactif
    Un fork devrait même être envisagé pour écarter les indélicats qui ont permis cette manœuvre sournoise.
    Il fraudais les interdirent de toucher a un ordinateur a perpétuité tu veut dire !

    Ce que je reproche, c'est pas la fonctionnalité en elle même, c'est de l'avoir introduite en douce, sans avertir personne, et en cachant le code, pour essayer de passer inaperçue !

    Sa ouvre un débat bien plus large, combien de package sous linux sont infectés par ce genre de magouille ?, a qui faire confiance ?

    A quand un serment d'Hippocrate en informatique.
    le 23/06/2015 à 22:41
  • Uther
    Expert éminent sénior
    Envoyé par Wirbelwind
    Bien faire la distinction entre Google Chrome et Chromium

    Le plus révoltant, c'est que c'est inclus dans Chromium, à savoir la version open-source et non pas dans Chrome avec le reste des bloatwares de Google ...
    Sauf que l'image qui perdure encore du gentil Chromium opposé au méchant Chrome est bidon depuis le début.

    Il faut voir que Chromium a beau être open-source, la direction de son évolution est complètement dépendante de Google, et on constate clairement qu'il est à chaque version un peu plus lié aux services de Google dont le respect de la vie privée n'est pas la principale qualité.

    Envoyé par Wirbelwind
    Si on voudrait pousser la paranoïa à fond, on pourrais aussi se méfier des repos en eux-même. Les packages binaires ( non-valable pour des sources ) dispo dessus peuvent tout aussi bien contenir une "fonctionnalité" en plus qu'on ne pourrais pas vraiment déceler, étant donné qu'ils ne contiennent uniquement des binaires, même si ces repos sont officiel, comment en être vraiment sûr ?
    La plupart des distributions exigent de fournir dans un package séparé les sources qui permettent de reproduire la compilation du binaire.

    Donc les paquets peuvent être régénérés et comparés si on est suspicieux.

    Envoyé par Ymer Leahcim
    j'ai eu raison...
    l'article original de parle pas d'"écouter", mais juste des permissions d'activer le microphone.
    Et un microphone activé peut écouter : CQFD. Après il n'y a certainement pas, pour le moment, transmission de l'intégralité de ce qu'entend le micro à Google, mais le fait qu'il s'agisse d'un blob binaire incite quand même à la méfiance.
    le 24/06/2015 à 1:15
  • cchatelain
    Expert éminent
    Il convient de rappeler que des utilisateurs de Chromium, soucieux de la sécurité de leurs données, avaient déjà commencé à réagir par rapport au téléchargement et à l'installation silencieuse de cette extension.
    J'imagine que chez les utilisateurs debian la sécurité est une thématique mieux connue.
    C'était pas super malin.
    le 23/06/2015 à 14:47
  • Wirbelwind
    Membre régulier
    Envoyé par sazearte
    Je trouve cela scandaleux, ce qui prouve bien que l'on ne peut faire confiance a ce navigateur.

    Je ne l'utilisait déjà pas avant, j'avais des doutes sur ce navigateur "sponsoriser par google", cette fois si c'est clair je reste sur firefox.
    Bien faire la distinction entre Google Chrome et Chromium

    Le plus révoltant, c'est que c'est inclus dans Chromium, à savoir la version open-source et non pas dans Chrome avec le reste des bloatwares de Google ...

    Mozilla aussi en ce moment est entrain de péter les plombs avec l'intégration d'un plugin proprio par défaut, l'extension Pocket, l'obligation de signer les extensions, etc.
    le 23/06/2015 à 22:38
  • Wirbelwind
    Membre régulier
    Envoyé par sazearte
    Sa ouvre un débat bien plus large, combien de package sous linux sont infectés par ce genre de magouille ?, a qui faire confiance ?
    Si on voudrait pousser la paranoïa à fond, on pourrais aussi se méfier des repos en eux-même. Les packages binaires ( non-valable pour des sources ) dispo dessus peuvent tout aussi bien contenir une "fonctionnalité" en plus qu'on ne pourrais pas vraiment déceler, étant donné qu'ils ne contiennent uniquement des binaires, même si ces repos sont officiel, comment en être vraiment sûr ?

    Il faut quand même avoir une certaine confiance vis-à-vis des fournisseurs de packages surtout pour les binaires.
    le 23/06/2015 à 23:08
  • Ymer Leahcim
    Membre habitué
    Envoyé par Ymer Leahcim
    est-on certain de la traduction de ce mot "écouter"?

    je voudrais bien avoir l'article anglais.
    Car si c'est comme le faux "scandale" de la NSA qui écoute toute la france c'est du pipi de chat.

    Les différences de sens entre "écouter", "entendre","enregistrer","reconnaitre" sont énormes !
    Except that the actual contents of the downloaded files in many ways
    do not actually matter. Those files are nacl executables, which are
    sandboxed in any nacl-enabled chromium, so barring a sandbox escape
    included in the files, this is functionally the same as visiting any
    nacl website (less the fact that hotword automatically gets microphone
    permission, which itself is worth independent critique).
    j'ai eu raison...
    l'article original de parle pas d'"écouter", mais juste des permissions d'activer le microphone.

    Et dire que ça choque personne de voir sous android 95% des applications demander le droit d'accès au carnet d'adresse, ou à la mémoire locale....
    le 23/06/2015 à 23:29
  • RyzenOC
    Inactif
    j'ai eu raison...
    l'article original de parle pas d'"écouter", mais juste des permissions d'activer le microphone.

    Je crois qu'on avait tous compris que Google n'écoute pas tous le monde, mais peut écouter tous le monde sans le consentement de l'utilisateur.

    Enfin moi, c'est comme cela que j'ai interprété l'article, et je ne vois ce que cela change de toute façon.
    le 24/06/2015 à 8:06
  Poster une réponse