ok google

Google, Chromium, la recherche vocale et notre navigateur Avira

La recherche vocale requiert l’activation du microphone. Le navigateur est à l’écoute et attend la formule magique « Ok Google ». Cela convient à la plupart des utilisateurs, mais pas à ceux qui font attention à la sécurité et à leur vie privée. Pour eux (comme pour nous), cette extension va trop loin. Google a ajouté la fonctionnalité en ajoutant l’extension « Hotword » à Chrome et à son homologue open source Chromium.

Après les premières réactions dans la presse de la sécurité informatique, Google a ajouté un commutateur de compilation pour maintenir la fonctionnalité hors de Chromium. Un peu plus tard, Google a même paramétré la fonctionnalité comme désactivée par défaut.

Pour éviter que ce genre de choses arrive sur notre navigateur, nous avons écrit un petit script qui vérifie les extensions installées et les compare à la liste « peut » et « doit ». De cette façon, nous nous assurons qu’aucune extension non souhaitée n’est installée par notre navigateur (qui se base sur la source Chromium) et que toutes les extensions que nous voulons avoir sont bien présentes.

Vous pouvez vérifier cela par vous-même en consultant le script : https://github.com/Avira/chrome_extension_checker

Lors de l’exécution de ce script, vous trouverez des extensions qui ne sont pas listées dans Chrome/Chromium ou notre navigateur. C’est voulu. Il s’agit d’extensions bien ancrées qui fournissent des fonctionnalités que vous vous attendriez à voir « dans le code du navigateur ». Toutefois, il est préférable qu’elles soient implémentées sous forme d’extensions. Pourquoi ? C’est une bonne question :

Il existe des frontières de sécurité entre une extension et le navigateur. Celles-ci limitent les droits de l’extension (voir le fichier manifest.json de l’extension pour les droits requis). De cette façon, si l’extension est piratée, les dommages éventuellement causés sont limités. Si les fonctionnalités avaient été implémentées directement dans la source du navigateur, ces frontières utiles n’existeraient pas. C’est donc une bonne pratique d’ingénierie, comme vous pouvez le constater.

Désormais, grâce au script, personne ne peut glisser des extensions dans votre navigateur sans que vous ne le remarquiez.

Juste pour le plaisir :

  • Comparez les extensions identifiées par notre outil à celles que vous pouvez voir dans le menu Extensions et en vérifiant l’URL chrome://inspect/#extensions.
    (Oui, c’est également une bonne pratique d’ingénierie de « cacher » les extensions à l’utilisateur. En tant qu’ingénieur, on préfère ne pas embrouiller les gens en affichant des extensions qu’ils n’ont pas installées.)
  • Comparez tous les navigateurs basés sur Chrome (Chromium, notre navigateur, Chrome, etc.) pour vérifier ce qu’ils installent.

Oui, nous avons un compte Git pour publier notre code open source.

Cet article est également disponible en: AnglaisItalien

I use science to protect people. My name is Thorsten Sick and I do research projects at Avira. My last project was the ITES project where I experimented with Sandboxes, Sensors and Virtual Machines. Currently I am one of the developers of the new Avira Browser