Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Google Tonalité : Intel s'inquiète de l'extension Chrome de transfert d'URL par ondes sonores

Non, mais allo quoi !
Internet 7 min
Google Tonalité : Intel s'inquiète de l'extension Chrome de transfert d'URL par ondes sonores
Crédits : clearviewstock/iStock

Google a récemment mis en ligne une nouvelle extension Chrome, Google Tonalité, qui permet d'échanger des URL (et potentiellement plus), via des ondes sonores. Le principe est simple, mais inquiète tout de même Intel à cause de « risques potentiels graves ».

Google Tonalité : une extension dans la droite lignée de l'application Chirp

Il y a quelques jours, Google se fendait d'un billet de blog pour annoncer une nouvelle extension expérimentale pour Chrome : Google Tone, ou Tonalité dans la langue de Molière. Une fois installée, elle permet de diffuser une URL en utilisant les ondes sonores. Une autre machine équipée de la même extension et dont le micro est ouvert peut alors la récupérer et, via une notification sur le bureau, invite l'utilisateur à cliquer sur l'URL afin d'y accéder. 

Simple et efficace et, cerise sur le gâteau, ce service fonctionne à travers Hangout, et probablement d'autres applications plus tard. La société précise que les ondes sonores sont émises sur le spectre audible afin d'être parfaitement prises en compte par un micro classique (qui est souvent équipé de filtres afin de ne laisser passer que le spectre audible). Un principe de fonctionnement original, mais qui n'est pour autant pas nouveau et qui rappellera probablement des souvenirs aux nostalgiques des modems RTC qui écoutaient l'établissement de la liaison.

De plus, sur Android et iOS on retrouve par exemple l'application Chirp qui permet même d'aller plus loin que Google Tonalité puisque, en plus d'une URL, il est question de vidéos (jusqu'à 6 secondes), de photos, de GIF animés, etc. Le fichier n'est par contre pas directement transmis via l'audio (même si cela reste évidemment possible), mais via un lien permettant ensuite de le télécharger sur les serveurs de la société. Hasard ou pas du calendrier, la société est en train de lever des fonds via la plateforme CrowdCube (290 000 livres récoltées sur les 400 000 demandées).

Intel s'inquiète des dangers de cette solution « simple et élégante »

Matthew Rosenquist, responsable de la cybersécurité chez Intel et présentateur de plusieurs conférences sur ce sujet, revient sur cette annonce avec un point de vue assez tranché. Pour lui, Google Tonalité est « simple et élégante », mais cette extension apporte « quelques risques potentiels graves », car les « liens malveillants pourraient sauter à travers "l’air gap" ». Pour rappel, ce terme désigne la séparation physique de réseaux informatiques, censée éviter toute interaction et tentative de piratage d'un réseau en passant par l'autre.

Afin d'illustrer son propos, il donne un exemple parlant : « Imaginez que vous êtes dans un café, ou bien un espace bondé avec des gens qui s'ennuient sur leurs téléphones, tablettes ou ordinateurs portables. Un système compromis pourrait être en mesure de se propager et d'infecter d'autres personnes sur des réseaux différents, en passant outre l'isolation physique des machines. De plus, un logiciel malveillant pourrait tirer parti de l'extension Google Tonalité afin d'introduire une série d'instructions sonores qui, si elle était activée sur les appareils ciblés, redirigerait tout le monde automatiquement vers un site piégé, téléchargerait des logiciels malveillants ou spammerait avec des messages de phishing ».

Un tableau pessimiste et comprenant une certaine dose de « si ».  De plus, dans son scénario, Intel oublie tout de même que l'ouverture du lien et l'installation de logiciels requièrent l'intervention de l'utilisateur. Néanmoins, il s'agit d'un point de vue intéressant comme pire cas possible.

Google Tonalité

Des limitations bien utiles : connexion à Internet obligatoire et pas d'échange de fichier

Matthew Rosenquist revient ensuite sur un autre point de l'annonce de Google : le partage de fichiers. Si cela n'est pas (encore ?) possible dans l'extension mise en ligne, c'est une fonctionnalité déjà utilisée par les équipes du géant du web en interne, comme précisé dans le billet de blog. Pour le responsable de chez Intel, cela serait une porte grande ouverte sur la diffusion de logiciels malveillants, et ce, sur des machines qui ne sont pas forcément sur le même réseau.

Ce point est néanmoins déjà pris en considération par Google qui indique clairement qu'il s'agit d'une limitation volontaire : « seules des URL sont diffusées dans le cadre du service Google Tone. De cette manière, les destinataires ne peuvent pas automatiquement accéder aux pages auxquelles ils n'auraient normalement pas accès ». Il est question ici de fichiers confidentiels, mais cela s'applique également aux logiciels malveillants. Le géant du Net en profite pour rappeler que, bien évidemment, « les messages diffusés par Google Tone sont, par définition, publics ». Il pourrait difficilement en être autrement avec des ondes sonores audibles.

Il convient de rappeler que Google Tonalité nécessite une connexion à Internet pour fonctionner. D'après nos constatations, une machine hors ligne (Wi-Fi désactivé et/ou prise Ethernet débranchée par exemple) n'est pas en mesure d'afficher la moindre notification provenant de cette extension. Cela est en partie dû à son principe de fonctionnement, car « les URL sont enregistrées temporairement sur les serveurs de Google » précise la firme de Mountain View. Tonalité permet donc d'échanger des informations, mais il faudra établir une liaison entre les machines, au moins via Internet et les serveurs de Google.

Donc, même si le navigateur Chrome et l'extension Google Tonalité se retrouvaient installés sur une machine isolée physiquement des autres réseaux (et donc non-reliée à Internet), le schéma décrit par l'ingénieur d'Intel est donc actuellement impossible à mettre en place. 

Et si Google Tonalité était une nouvelle entrée pour la publicité ?

Le responsable d'Intel évoque ensuite une autre possibilité d'utilisation, certes moins dangereuse pour la sécurité des systèmes informatiques, mais pas forcément moins ennuyeuse ou intrusive pour les utilisateurs : « un panneau d'affichage diffusant des tonalités d'annonces vers des pages publicitaires ou de marketing dans votre navigateur ». Il ajoute que « la même chose pourrait arriver lorsque vous faites des emplettes dans un magasin afin de promouvoir certains produits ainsi que des coupons par exemple », à condition que Google Tonalité débarque sur les mobiles, ce qui n'est pas (encore ?) le cas. Et Matthew Rosenquist se demande finalement si « cela n'ouvrira pas la voie à une nouvelle manière de pousser du contenu indésirable dans nos vies » ?

Pour conclure, Matthew Rosenquist recommande d'utiliser Google Tonalité « avec précaution ». Il est en effet aisé d'installer l'extension afin de procéder à quelques tests, mais elle sera automatiquement répliquée sur l'ensemble de vos machines pour peu que vous soyez connectés avec votre compte Google sur chacune d'entre elles. Une fois les premiers tests passés pour s'amuser , le risque est d'oublier de la désinstaller et de la laisser trainer dans un coin avant qu'elle ne se réveille d'un coup lorsqu'un son connu passera à portée de l'ordinateur. Pour rappel, il suffit d'effectuer un clic droit sur son icône, ou bien de se rendre sur la page de gestion des extensions via ce lien, pour la supprimer du navigateur.

De plus, il recommande aux entreprises de ne pas l'installer tout de suite à cause des risques potentiels. « Pour ma part je regarderai comment les hackers créatifs exploiteront cette fonctionnalité et combien de temps il faudra aux entreprises spécialisées dans la sécurité afin de répondre à ce nouveau type de menace » ajoute-t-il en guise d'avertissement.

Un concept intéressant, à utiliser avec parcimonie

Au final, c'est surtout le principe même de fonctionnement qui est pointé du doigt par le responsable d'Intel, plus que l'extension elle-même qui ne représente qu'un risque de sécurité relativement faible dans son état actuel. Mais, comme on a pu le voir avec Stuxnet, la moindre porte d'entrée sur un réseau séparé physiquement peut être exploitée par des pirates. Il s'agissait alors d'une clé USB qui se baladait entre différentes machines, jusqu'à tomber sur celle qui lui a permis de piéger des centrifugeuses iraniennes d’enrichissement d'uranium.

Ici il ne s'agit pas d'une clé USB, mais d'ondes sonores. Pour autant, la parade est simple pour des systèmes critiques puisqu'il suffit de ne pas avoir de micro sur ces machines (ou même Chrome et son extension), rien de bien compliqué en somme. Le problème est plus complexe pour les entreprises  (et les particuliers) où les ordinateurs ont bien souvent des micros, ne serait-ce que pour participer à des conférences. Il faudra alors responsabiliser les utilisateurs, un problème qui ne touche pas que Google Tonalité et qui est bien plus large.

La vision des deux protagonistes s'oppose assez franchement : d'un côté Google et son extension « construite en un après-midi pour le plaisir » et de l'autre Intel qui imagine un scénario catastrophe avec des « risques potentiels graves », et ce, à partir de possibles évolutions de cette dernière.

48 commentaires
Avatar de Northernlights Abonné
Avatar de NorthernlightsNorthernlights- 27/05/15 à 07:33:07

Pour dépanner ca peut être sympa, mais pour le reste ca va etre avant tout chiant a la longue.
Du bip dans tous les sens...

Ce sont en général les pc desktop qui en auraient le plus besoin (les portables et smarttucs ont déjà du bluetooth ou autre pour faire du transfert); et ce n'est pas garantit d'avoir tjs un micro sur un pc desktop.

Édité par Northernlights le 27/05/2015 à 07:33
Avatar de Jean-Luc Skywalker Abonné
Avatar de Jean-Luc SkywalkerJean-Luc Skywalker- 27/05/15 à 07:34:19

Bien vu pour la pub.

Avatar de wagaf Abonné
Avatar de wagafwagaf- 27/05/15 à 07:35:21

Marrant comme techno.
Il me semble que la Chromecast utilise déjà ce principe mais dans les fréquence inaudibles pour l'appareillage facile.

Les critiques d'Intel sont valables pour toute techno sans fil.

Avatar de atomusk INpactien
Avatar de atomuskatomusk- 27/05/15 à 07:37:53

Ca en fait du drama pour une extentions "proof of concept" que personne n'utilisera :transpi:

Avatar de Minikea INpactien
Avatar de MinikeaMinikea- 27/05/15 à 07:44:35

pour envoyer une URL vers un smartphone, ça peut être super utile par contre. y'a pas des applis pour ça?

Avatar de WereWindle INpactien
Avatar de WereWindleWereWindle- 27/05/15 à 07:47:28

atomusk a écrit :

Ca en fait du drama pour une extentions "proof of concept" que personne n'utilisera :transpi:

pas faux dans l'absolu mais il s'agit de Google dont on a déjà vu qu'il était capable de faire du PoC > Killer Apps of tomorrow > abandonware en 1 an peu ou prou :transpi:

geekounet85 a écrit :

pour envoyer une URL vers un smartphone, ça peut être super utile par contre. y'a pas des applis pour ça?

les différents systèmes de synchro ?

Avatar de jb18v Abonné
Avatar de jb18vjb18v- 27/05/15 à 07:47:28

Chrome :roll:

Avatar de Minikea INpactien
Avatar de MinikeaMinikea- 27/05/15 à 07:50:58

depuis un PC fixe : pas de bluetooth (enfin si, mais pour la démonstration on va dire que non)
le transfert d'url par wifi, c'est un peu overkill (et je saurais même pas comment faire)
le QR code, c'est chiant (mais ça marche)
pour l'instant, la meilleure solution que j'ai, c'est google keep.

et je n'ai pas forcément les mêmes navigateurs sur mobile et sur fixe. (et c'est fait exprès)

Édité par geekounet85 le 27/05/2015 à 07:52
Avatar de atomusk INpactien
Avatar de atomuskatomusk- 27/05/15 à 07:52:13

Serieusement, dans le monde où tout le monde est connecté, tout le monde utilise entre 2 et 3 outils de communications différents (skype, facebook messenger ...), imaginer que par exemple, pour refiler un lien rigolo dans l'open space, je vais passer par cet outil, pour que "TOUT LE MONDE" dans l'open space reçoive mon lien (et hop les notif sur tous les téléphones) ... sérieusement ? :transpi:

Dans le métro les mecs qui m'envoient des popup & co ... 

C'est fun ... peut être que tu peux en avoir un usage une fois par mois ("regardez cette video rigolotte) ... mais franchement c'est plus un délire "fun" qu'un produit qui a de l'avenir si tu veux mon avis :transpi:

Avatar de Minikea INpactien
Avatar de MinikeaMinikea- 27/05/15 à 07:54:40

sachant qu'il faut quand même que les personnes qui reçoivent : ai un micro ET chrome ET l'extension ET donnent leur permission.
ça limite l'impact.

Il n'est plus possible de commenter cette actualité.
Page 1 / 5