Google Tonalité : Intel s'inquiète de l'extension Chrome de transfert d'URL par ondes sonores

Google Tonalité : Intel s’inquiète de l’extension Chrome de transfert d’URL par ondes sonores

Non, mais allo quoi !

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

27/05/2015 8 minutes
48

Google Tonalité : Intel s'inquiète de l'extension Chrome de transfert d'URL par ondes sonores

Google a récemment mis en ligne une nouvelle extension Chrome, Google Tonalité, qui permet d'échanger des URL (et potentiellement plus), via des ondes sonores. Le principe est simple, mais inquiète tout de même Intel à cause de « risques potentiels graves ».

Google Tonalité : une extension dans la droite lignée de l'application Chirp

Il y a quelques jours, Google se fendait d'un billet de blog pour annoncer une nouvelle extension expérimentale pour Chrome : Google Tone, ou Tonalité dans la langue de Molière. Une fois installée, elle permet de diffuser une URL en utilisant les ondes sonores. Une autre machine équipée de la même extension et dont le micro est ouvert peut alors la récupérer et, via une notification sur le bureau, invite l'utilisateur à cliquer sur l'URL afin d'y accéder. 

Simple et efficace et, cerise sur le gâteau, ce service fonctionne à travers Hangout, et probablement d'autres applications plus tard. La société précise que les ondes sonores sont émises sur le spectre audible afin d'être parfaitement prises en compte par un micro classique (qui est souvent équipé de filtres afin de ne laisser passer que le spectre audible). Un principe de fonctionnement original, mais qui n'est pour autant pas nouveau et qui rappellera probablement des souvenirs aux nostalgiques des modems RTC qui écoutaient l'établissement de la liaison.

De plus, sur Android et iOS on retrouve par exemple l'application Chirp qui permet même d'aller plus loin que Google Tonalité puisque, en plus d'une URL, il est question de vidéos (jusqu'à 6 secondes), de photos, de GIF animés, etc. Le fichier n'est par contre pas directement transmis via l'audio (même si cela reste évidemment possible), mais via un lien permettant ensuite de le télécharger sur les serveurs de la société. Hasard ou pas du calendrier, la société est en train de lever des fonds via la plateforme CrowdCube (290 000 livres récoltées sur les 400 000 demandées).

Intel s'inquiète des dangers de cette solution « simple et élégante »

Matthew Rosenquist, responsable de la cybersécurité chez Intel et présentateur de plusieurs conférences sur ce sujet, revient sur cette annonce avec un point de vue assez tranché. Pour lui, Google Tonalité est « simple et élégante », mais cette extension apporte « quelques risques potentiels graves », car les « liens malveillants pourraient sauter à travers "l’air gap" ». Pour rappel, ce terme désigne la séparation physique de réseaux informatiques, censée éviter toute interaction et tentative de piratage d'un réseau en passant par l'autre.

Afin d'illustrer son propos, il donne un exemple parlant : « Imaginez que vous êtes dans un café, ou bien un espace bondé avec des gens qui s'ennuient sur leurs téléphones, tablettes ou ordinateurs portables. Un système compromis pourrait être en mesure de se propager et d'infecter d'autres personnes sur des réseaux différents, en passant outre l'isolation physique des machines. De plus, un logiciel malveillant pourrait tirer parti de l'extension Google Tonalité afin d'introduire une série d'instructions sonores qui, si elle était activée sur les appareils ciblés, redirigerait tout le monde automatiquement vers un site piégé, téléchargerait des logiciels malveillants ou spammerait avec des messages de phishing ».

Un tableau pessimiste et comprenant une certaine dose de « si ».  De plus, dans son scénario, Intel oublie tout de même que l'ouverture du lien et l'installation de logiciels requièrent l'intervention de l'utilisateur. Néanmoins, il s'agit d'un point de vue intéressant comme pire cas possible.

Google Tonalité

Des limitations bien utiles : connexion à Internet obligatoire et pas d'échange de fichier

Matthew Rosenquist revient ensuite sur un autre point de l'annonce de Google : le partage de fichiers. Si cela n'est pas (encore ?) possible dans l'extension mise en ligne, c'est une fonctionnalité déjà utilisée par les équipes du géant du web en interne, comme précisé dans le billet de blog. Pour le responsable de chez Intel, cela serait une porte grande ouverte sur la diffusion de logiciels malveillants, et ce, sur des machines qui ne sont pas forcément sur le même réseau.

Ce point est néanmoins déjà pris en considération par Google qui indique clairement qu'il s'agit d'une limitation volontaire : « seules des URL sont diffusées dans le cadre du service Google Tone. De cette manière, les destinataires ne peuvent pas automatiquement accéder aux pages auxquelles ils n'auraient normalement pas accès ». Il est question ici de fichiers confidentiels, mais cela s'applique également aux logiciels malveillants. Le géant du Net en profite pour rappeler que, bien évidemment, « les messages diffusés par Google Tone sont, par définition, publics ». Il pourrait difficilement en être autrement avec des ondes sonores audibles.

Il convient de rappeler que Google Tonalité nécessite une connexion à Internet pour fonctionner. D'après nos constatations, une machine hors ligne (Wi-Fi désactivé et/ou prise Ethernet débranchée par exemple) n'est pas en mesure d'afficher la moindre notification provenant de cette extension. Cela est en partie dû à son principe de fonctionnement, car « les URL sont enregistrées temporairement sur les serveurs de Google » précise la firme de Mountain View. Tonalité permet donc d'échanger des informations, mais il faudra établir une liaison entre les machines, au moins via Internet et les serveurs de Google.

Donc, même si le navigateur Chrome et l'extension Google Tonalité se retrouvaient installés sur une machine isolée physiquement des autres réseaux (et donc non-reliée à Internet), le schéma décrit par l'ingénieur d'Intel est donc actuellement impossible à mettre en place. 

Et si Google Tonalité était une nouvelle entrée pour la publicité ?

Le responsable d'Intel évoque ensuite une autre possibilité d'utilisation, certes moins dangereuse pour la sécurité des systèmes informatiques, mais pas forcément moins ennuyeuse ou intrusive pour les utilisateurs : « un panneau d'affichage diffusant des tonalités d'annonces vers des pages publicitaires ou de marketing dans votre navigateur ». Il ajoute que « la même chose pourrait arriver lorsque vous faites des emplettes dans un magasin afin de promouvoir certains produits ainsi que des coupons par exemple », à condition que Google Tonalité débarque sur les mobiles, ce qui n'est pas (encore ?) le cas. Et Matthew Rosenquist se demande finalement si « cela n'ouvrira pas la voie à une nouvelle manière de pousser du contenu indésirable dans nos vies » ?

Pour conclure, Matthew Rosenquist recommande d'utiliser Google Tonalité « avec précaution ». Il est en effet aisé d'installer l'extension afin de procéder à quelques tests, mais elle sera automatiquement répliquée sur l'ensemble de vos machines pour peu que vous soyez connectés avec votre compte Google sur chacune d'entre elles. Une fois les premiers tests passés pour s'amuser , le risque est d'oublier de la désinstaller et de la laisser trainer dans un coin avant qu'elle ne se réveille d'un coup lorsqu'un son connu passera à portée de l'ordinateur. Pour rappel, il suffit d'effectuer un clic droit sur son icône, ou bien de se rendre sur la page de gestion des extensions via ce lien, pour la supprimer du navigateur.

De plus, il recommande aux entreprises de ne pas l'installer tout de suite à cause des risques potentiels. « Pour ma part je regarderai comment les hackers créatifs exploiteront cette fonctionnalité et combien de temps il faudra aux entreprises spécialisées dans la sécurité afin de répondre à ce nouveau type de menace » ajoute-t-il en guise d'avertissement.

Un concept intéressant, à utiliser avec parcimonie

Au final, c'est surtout le principe même de fonctionnement qui est pointé du doigt par le responsable d'Intel, plus que l'extension elle-même qui ne représente qu'un risque de sécurité relativement faible dans son état actuel. Mais, comme on a pu le voir avec Stuxnet, la moindre porte d'entrée sur un réseau séparé physiquement peut être exploitée par des pirates. Il s'agissait alors d'une clé USB qui se baladait entre différentes machines, jusqu'à tomber sur celle qui lui a permis de piéger des centrifugeuses iraniennes d’enrichissement d'uranium.

Ici il ne s'agit pas d'une clé USB, mais d'ondes sonores. Pour autant, la parade est simple pour des systèmes critiques puisqu'il suffit de ne pas avoir de micro sur ces machines (ou même Chrome et son extension), rien de bien compliqué en somme. Le problème est plus complexe pour les entreprises  (et les particuliers) où les ordinateurs ont bien souvent des micros, ne serait-ce que pour participer à des conférences. Il faudra alors responsabiliser les utilisateurs, un problème qui ne touche pas que Google Tonalité et qui est bien plus large.

La vision des deux protagonistes s'oppose assez franchement : d'un côté Google et son extension « construite en un après-midi pour le plaisir » et de l'autre Intel qui imagine un scénario catastrophe avec des « risques potentiels graves », et ce, à partir de possibles évolutions de cette dernière.

48

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Google Tonalité : une extension dans la droite lignée de l'application Chirp

Intel s'inquiète des dangers de cette solution « simple et élégante »

Des limitations bien utiles : connexion à Internet obligatoire et pas d'échange de fichier

Et si Google Tonalité était une nouvelle entrée pour la publicité ?

Un concept intéressant, à utiliser avec parcimonie

Commentaires (48)


Pour dépanner ca peut être sympa, mais pour le reste ca va etre avant tout chiant a la longue.

Du bip dans tous les sens…



Ce sont en général les pc desktop qui en auraient le plus besoin (les portables et smarttucs ont déjà du bluetooth ou autre pour faire du transfert); et ce n’est pas garantit d’avoir tjs un micro sur un pc desktop.


Bien vu pour la pub.


Marrant comme techno.

Il me semble que la Chromecast utilise déjà ce principe mais dans les fréquence inaudibles pour l’appareillage facile.



Les critiques d’Intel sont valables pour toute techno sans fil.


Ca en fait du drama pour une extentions “proof of concept” que personne n’utilisera&nbsp;<img data-src=" />


pour envoyer une URL vers un smartphone, ça peut être super utile par contre. y’a pas des applis pour ça?








atomusk a écrit :



Ca en fait du drama pour une extentions “proof of concept” que personne n’utilisera <img data-src=" />





pas faux dans l’absolu mais il s’agit de Google dont on a déjà vu qu’il était capable de faire du PoC &gt; Killer Apps of tomorrow &gt; abandonware en 1 an peu ou prou <img data-src=" />







geekounet85 a écrit :



pour envoyer une URL vers un smartphone, ça peut être super utile par contre. y’a pas des applis pour ça?





les différents systèmes de synchro ?



Chrome <img data-src=" />


depuis un PC fixe : pas de bluetooth (enfin si, mais pour la démonstration on va dire que non)

le transfert d’url par wifi, c’est un peu overkill (et je saurais même pas comment faire)

le QR code, c’est chiant (mais ça marche)

pour l’instant, la meilleure solution que j’ai, c’est google keep.



et je n’ai pas forcément les mêmes navigateurs sur mobile et sur fixe. (et c’est fait exprès)


Serieusement, dans le monde où tout le monde est connecté, tout le monde utilise entre 2 et 3 outils de communications différents (skype, facebook messenger …), imaginer que par exemple, pour refiler un lien rigolo dans l’open space, je vais passer par cet outil, pour que “TOUT LE MONDE” dans l’open space reçoive mon lien (et hop les notif sur tous les téléphones) … sérieusement ?&nbsp;<img data-src=" />



Dans le métro les mecs qui m’envoient des popup & co …&nbsp;



C’est fun … peut être que tu peux en avoir un usage une fois par mois (“regardez cette video rigolotte) … mais franchement c’est plus un délire “fun” qu’un produit qui a de l’avenir si tu veux mon avis&nbsp;<img data-src=" />


sachant qu’il faut quand même que les personnes qui reçoivent : ai un micro ET chrome ET l’extension ET donnent leur permission.

ça limite l’impact.


Tiens ! Google réinvente le fax !


Si on a déjà installé Google Chrome, je ne vois pas où est le risque supplémentaire avec Google Tone… <img data-src=" />



Sinon j’adore la vision qu’a Matthew Rosenquist de l’usage des nouvelles technologies :



[…] avec des gens qui s’ennuient sur leurs téléphones, tablettes ou ordinateurs portables.


Merci pour cet article intéressant!



Je comprends pas trop la polémique sur l’air gap… De toute façon, pour reprendre son exemple, les mobiles, bien que séparés par un espace physique, sont aussi interconnectés (indirectement) par le wifi/3G. Ajouter un réseau radio ne ferait qu’ajouter un mode de transmission supplémentaire non?



Il faut juste s’assurer qu’on a le contrôle du micro, tout comme il faut s’assurer qu’on ne se connecte par n’importe comment aux réseaux wifi publics…


Le fax permettait de diffuser des lien internet à 2 à 3m de distance ?&nbsp;<img data-src=" />



Oulà, c’est pas ce que j’avais compris&nbsp;<img data-src=" />


bah oui, t’imprimes le lien et tu le fax dans le bureau d’a coté <img data-src=" />


Vu que ca doit être désactivable, enfin je pense même qu’il faut l’activer genre “ecoute l’url !” je ne vois pas trop le soucis… c’est pas pire que les solutions de marketing bluetooth qui existent, et qui ont bien plus de possibilité que Google Tone finalement.



Donc pousser de la pub ? Je n’y crois pas plus qu’au QR Code intégré dans le bandeau publicitaire ou à “shazamer la pub” pour avoir plus d’info : finalement ca reste un acte volontaire.


Je trouve ça plutôt chouette personnellement…



Si on peut s’envoyer un lien de smartphone à pc en mode bipbip aisément, c’est tout bon pour moi ^^’








wagaf a écrit :



Marrant comme techno.

Il me semble que la Chromecast utilise déjà ce principe mais dans les fréquence inaudibles pour l’appareillage facile.



Les critiques d’Intel sont valables pour toute techno sans fil.





Je suis bien d’accord avec ta dernière phrase. Je ne pige pas en quoi ce moyen supplémentaire d’envoi d’information pose plus de problème que les autres. On m’a envoyé un lien via NFC (il faut être assez près c’est clair), ou via Bluetooth, c’est pareil il me semble, ou alors des choses m’ont échappé dans l’article.



Pour la Chromecast, elle communiquerait par ultrasons, mais avec quel équipement ? Ça me paraît hautement improbable (et inutile).

Au passage, tu ne confondrais pas “appareillage” et “appariement” ?







geekounet85 a écrit :



pour envoyer une URL vers un smartphone, ça peut être super utile par contre. y’a pas des applis pour ça?





Si, par Bluetooth et par NFC, par exemple. Ceux qui sont déjà “connectés” via un quelconque moyen (e-mail, chat, réseau social) n’en ont pas forcément besoin.



mouais…. ce pseudo QR code audio n’a pas fini de nous casser les oreilles.

il n’y a rien d’élégant à s’introduire de force dans le tympan de quelqu’un


je pensais plus à un périphérique sans ces technos. (PC fixe vers smartphone et vice versa)


En fait je pense que le gros souci est la diffusion en mode broadcast.

En NFC faut être tout près, ça réduit le champ des possibilités (bien que je considère que qu’une action mécanique obligatoire est un plus en terme de sécurité).

En Bluetooth seul le nom est diffusé, il y a un appairage, une validation et une action nécessaire.

Là, ça balancerait un lien à tout le monde en même temps, ça ne me plait guère non plus, surtout si c’est encore pour nous matraquer de publicité…


Ouais, enfin la technologie de transfert de données binaires par audio n’est carrément pas nouvelle. C’est juste une évolution de technologies très utilisées dans les années 80 comme le stockage sur cassette audio ou les modems.



Bref, rien de vraiment révolutionnaire


Et ce qui est beau c’est que personne n’a prétendu que c’était révolutionnaire … elle est pas belle la vie ?&nbsp;<img data-src=" />


OK, merci pour le lien.





friends can pair their devices to your living room entertainment setup via inaudible ultrasonic frequencies.

Apparently, all one needs to do to enable this is allow the Chromecast

to support nearby devices, and it’ll push the necessary tones through

your flat-screen’s speakers



C’est quand même pas gagné pour que des haut-parleurs de télé, généralement pas d’excellente qualité, et dont la bande passante vers le haut n’est pas non plus énorme (et de toutes façons les HP ne sont pas conçus pour reproduire les ultra-sons, et l’électronique non plus), arrivent à en sortir. Apparemment malgré un rendement très faible ça serait suffisant.


c’est la revanche de l’analogique sur le numérique.



Ca me fait penser que Google fait (ou faisait) des sauvegardes de ses données sur bande magnétique :

Des bandes magnétiques sauvent Gmail de la catastrophe - Numerama



Comme quoi, le numérique, les appli., les smart(objets), etc. Tout ça n’est pas aussi “moderne”, dans la “vibe” qu’il y paraît.


Sérieusement, c’est une victoire de l’analogique qu’une entreprise fasse des backups sur bande magnétique ?&nbsp;<img data-src=" />



Il y a des victoires faciles quand même&nbsp;<img data-src=" />








joma74fr a écrit :



c’est la revanche de l’analogique sur le numérique.



Ca me fait penser que Google fait (ou faisait) des sauvegardes de ses données sur bande magnétique :

Des bandes magnétiques sauvent Gmail de la catastrophe - Numerama



Comme quoi, le numérique, les appli., les smart(objets), etc. Tout ça n’est pas aussi “moderne”, dans la “vibe” qu’il y paraît.





Les banques sauvegardent aussi sur bande magnétique.



En quoi une bande magnétique est analogique ? A ce compte la nos bon vieux HDD sont analogiques alors ? Faudrait pas tout confondre non plus hein <img data-src=" />



L’archivage sur bande magnétique est largement répandu… avec les robots de sauvegardes et les bandes LTO c’est l’idéal pour archiver des données sur de longues périodes.








joma74fr a écrit :



Ca me fait penser que Google fait (ou faisait) des sauvegardes de ses données sur bande magnétique :

Des bandes magnétiques sauvent Gmail de la catastrophe - Numerama



Toutes les entreprises un peu sérieuses archivent sur bande…&nbsp;

Ca a toujours été le support le plus fiable de stockage (et le moins gourmand en place, il me semble)





Et si Google Tonalité était une nouvelle entrée pour la publicité ?



C’est sûrement pour ça en fait. Donc, Firefox (ou autre navigateur que Chrome) obligatoire à l’avenir …








geekounet85 a écrit :



sachant qu’il faut quand même que les personnes qui reçoivent : ai un micro ET chrome ET l’extension ET donnent leur permission.

ça limite l’impact.





99,99% des utilisateurs de smartphones android ont un micro et chrome.

Pour l’extension, il y a de fortes chances qu’elle soit fournie d’office avec la future maj d’android voire même de chrome tout court.



Quant aux permissions sous android… <img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />



Sérieusement … aucune chance que ça soit intégré de base dans Chrome et/ou sur Android



Juste “aucune chance” … sachant que Google privilégie le cloud pour transférer les info d’un Android à un chrome (exemple&nbsp;http://www.engadget.com/2015/04/25/send-directions-via-google-search/ ).&nbsp;







  1. ça n’a aucun intérêt “pratique”

  2. ça déclencherait un shitstorm pas croyable&nbsp;

  3. ça serait contre productif sur l’image de Google.



    Je suis prêt à te parier un champagne que ça ne sera jamais intégré à Chrome de base ou à Android (la preuve, au lieu de l’intégrer dans une update de Chrome, ils le présentent comme une extension).


Pas pire que le NFC pour la sécurité j’imagine.


C’est quoi le débit de cette techno ?


on s’en fout, il envoi qu’un lien et le PC distant va chercher le lien.



donc le débit a pas à être grand … par contre tout passe par les serveurs Google du coup.


url raccourcie?


Si je comprend bien ce que dit la news, tu dois avoir l’extension sur les 2 devices et ça ne fonctionne pas en offline.



Donc j’imagine que le device envoyant pousse le lien web sur le webservice Google, récupére un identifiant, et envoit par les hauts parleurs une “trame de reconnaissance” + identifiant de la requête.



De sont coté, le device recevant reconnais la trame dans le buit ambiant, et dechiffre l’identifiant, et fait une&nbsp;requête&nbsp;sur leur webservice&nbsp;pour cet identifiant pour qu’on lui envoit l’url.



En tout cas c’est comme ça que je l’interprète.


ha ouais, c’est pas aussi simple que je pensais.


Oui ça fait une peu “une solution à la Google” =&gt; tout passe par notre cloud&nbsp;<img data-src=" />



Mais d’un autre coté, ça permet de pouvoir facilement étendre le service pour partager des photo/films, sans différence significative (on pousse le fichier sur drive, et je fournis que le lien vers ce drive).


Est-ce que si on joue 5 notes particulières, les ET débarquent ? <img data-src=" />








atomusk a écrit :



Si je comprend bien ce que dit la news, tu dois avoir l’extension sur les 2 devices et ça ne fonctionne pas en offline.



Donc j’imagine que le device envoyant pousse le lien web sur le webservice Google, récupére un identifiant, et envoit par les hauts parleurs une “trame de reconnaissance” + identifiant de la requête.



De sont coté, le device recevant reconnais la trame dans le buit ambiant, et dechiffre l’identifiant, et fait une requête sur leur webservice pour cet identifiant pour qu’on lui envoit l’url.



En tout cas c’est comme ça que je l’interprète.







Expliqué comme ça, on se dit que c’est uniquement un produit marketing pour faire dire “Google innove”….



Et du coup même pour le partage de fichier que tu détailles après, ça semble vraiment complexe (enfin y a des solutions plus simples pour faire pareil)



un web service, une carte son, et un haut parleur … c’est compliqué ?&nbsp;<img data-src=" />








atomusk a écrit :



un web service, une carte son, et un haut parleur … c’est compliqué ? <img data-src=" />







C’est pour ça que je disais des solutions plus simples, car non c’est pas hyper complexe, mais c’est quand même se complexifier la vie, surtout le besoin d’avoir une connexion internet.



Ce truc va vite se retrouver INtégré à Pushbullet… le “truc” qu permet du partage INter-machines à la cool sans devoir comprendre… et hop… un nouveau “channel”!&nbsp;

C’est finalement juste un autre moyen de…&nbsp;

Me demande d’ailleurs combien de temps avant que Google ne rachète Pushbullet!<img data-src=" />


mon commentaire n’était pas si sérieux que ça, bien qu’un peu teinté de cynisme. Après ça (la transmission d’informations par fréquences vocales, le stockage d’informations sur bande magnétique hors des réseaux), le marketing des grosses sociétés high tech, de La French Tech, etc viendra nous venter les réseaux, le cloud, le “tout connecté”…



Pour autant, c’est très bien que Google utilise des technologies existantes pour inventer autre chose.


Justement, les entreprises de cloud VENDENT le fait que, c’est CHIANT de faire des backup et surtout des backup sécurisés, donc envoyez nous vos données et c’est nous qui allons faire la distribution, la sécurisation, ET le backup de vos données.



Donc oui, ils utilisent des solutions de sécurisation qui font leur preuves, et c’est bien ce qu’ils vendent avec ça … de mon point de vue, c’est justement le contraire qui serait choquant …


bien vu, au temps pour moi : une bande magnétique peut effectivement stocker de l’information numérique (binaire). Je me disais bien que quelqu’un allait relevé mon erreur.