Microsoft Edge accusé d’importer des onglets Chrome sans autorisation
(theregister.com)- Des signalements se multiplient selon lesquels Microsoft Edge pour Windows importerait les onglets ouverts et les données de navigation de Chrome sans l’autorisation de l’utilisateur, ou même lorsque le réglage correspondant est désactivé
- Edge dispose d’une fonction capable d’importer depuis Chrome, à chaque lancement, presque toutes les données du navigateur, au-delà des favoris et des mots de passe enregistrés ; elle existe au moins depuis mi-2022
- Tom Warren, de The Verge, indique qu’après un redémarrage Edge s’est ouvert avec les mêmes onglets que l’état précédent de Chrome, alors qu’il n’avait jamais autorisé l’importation et que le réglage était désactivé
- Les cas récents semblent s’être multipliés après la mise à jour Windows 11 KB5034204 publiée le 23 janvier 2024 ; l’écran d’installation contient une mention indiquant qu’Edge importe régulièrement les données d’autres navigateurs
- Microsoft a refusé de faire un commentaire officiel, mais une personne au fait du dossier indique que l’état de continuous import choisi sur un autre appareil pourrait avoir été synchronisé par erreur entre appareils, et qu’un correctif serait en cours pour la prochaine version Edge Stable
Polémique autour de l’importation automatique des données Chrome par Edge
- Des utilisateurs Windows signalent qu’Edge importe sans autorisation les onglets ouverts et d’autres données de Chrome
- Le point central du problème est que le même comportement se produit même lorsque le réglage concerné est désactivé
- La fonction d’importation d’Edge ne se limite pas à un simple transfert ponctuel de favoris et de mots de passe : elle peut importer les données Chrome à chaque lancement
- Si l’utilisateur est connecté avec un compte Microsoft, les données importées peuvent être synchronisées dans le cloud, ce qui pose problème pour ceux qui voulaient garder leurs environnements Chrome et Edge séparés
Des signalements d’utilisateurs déjà anciens
- Depuis 2023, des utilisateurs Windows rencontrent des comportements inattendus avec la fonction d’importation d’Edge
- Certains médias ont expliqué comment désactiver le réglage dans
edge://settings/profiles/importBrowsingData, mais d’après les réactions des lecteurs et les signalements d’utilisateurs, l’importation continue même lorsque le réglage est désactivé - Plusieurs fils sur les forums de support Microsoft et des publications Reddit affirment également qu’Edge importe les données Chrome de manière inattendue, y compris lorsque le réglage est désactivé
- Des employés de Microsoft et des conseillers indépendants ont proposé de vérifier le réglage
ImportBrowsingDataet d’ajouter une clé de registre de Group Policy pour désactiver manuellement l’importation automatique, mais les retours des utilisateurs penchent plutôt vers une absence d’efficacité
Le cas Tom Warren et sa diffusion
- Tom Warren, de The Verge, a constaté qu’après un redémarrage Edge s’ouvrait avec les mêmes onglets que l’état de Chrome avant le redémarrage
- Warren indique n’avoir jamais importé les données Chrome dans Edge ni autorisé l’importation des onglets ouverts de Chrome, et que le réglage était désactivé au moment de la vérification
- D’après les signalements en ligne, ce phénomène touche plusieurs utilisateurs, mais il ne semble pas généralisé à tous
Changement notable après la mise à jour KB5034204
- Les cas où Edge démarre avec les onglets Chrome déjà chargés semblent s’être particulièrement remarqués après la mise à jour Windows 11 KB5034204 publiée le 23 janvier 2024
- L’écran affiché pendant l’installation de KB5034204 contient une mention selon laquelle Edge « importe régulièrement les données d’autres navigateurs disponibles sur les appareils Windows »
- Le chercheur en sécurité Zach Edwards a estimé sur X/Twitter que cet écran d’installation pourrait cette fois laisser à Microsoft une marge d’explication
- Toutefois, le problème d’importation des données Chrome par Edge n’est pas nouveau en soi et a déjà été documenté dans des messages de forums et des demandes d’aide
Réaction de Microsoft et questions en suspens
- Outre le problème Edge, KB5034204 aurait aussi provoqué des échecs d’installation et des problèmes de démarrage chez plusieurs utilisateurs de Windows 11
- D’autres sites ont également signalé des applications endommagées, des problèmes avec l’Explorateur de fichiers et des soucis de barre des tâches
- Microsoft n’a pas fourni de réponse officielle aux questions sur ce problème et a aussi refusé de commenter officiellement le cas Edge
- Une personne au fait du dossier indique que si un utilisateur a choisi continuous import dans l’expérience de premier lancement d’Edge sur un autre appareil, cet état pourrait avoir été synchronisé par erreur entre appareils
- Cette personne estime que ce comportement ne correspond pas à l’expérience fonctionnelle prévue
- Microsoft serait en train de traiter le problème dans la prochaine version Edge Stable
1 commentaires
Avis de Hacker News
C’est un doublon, il suffit de consulter la discussion précédente : https://news.ycombinator.com/item?id=39179929
Discussion publiée hier : https://news.ycombinator.com/item?id=39179929
À mon avis, Firefox ne protège généralement pas non plus contre ça
J’ai montré à ma mère comment utiliser WhatsApp sur
web.whatsapp.compour partager plus facilement des captures d’écran ou des liens, et quelques secondes après la connexion, une notification de l’App Store a indiqué que WhatsApp avait été installé ; l’application Desktop était effectivement installée sans intervention de l’utilisateurJe ne sais pas comment ça a commencé, mais je me suis dit que ça pouvait être lié au fait que DoH est désactivé par défaut
Cela dit, comme beaucoup de commentaires le suggèrent, il est très probable que ma mémoire me joue des tours ; après avoir effacé l’historique de whatsapp.com dans Firefox et supprimé l’application, j’ai essayé de reproduire le problème sans succès. J’ai bien vu trois boutons distincts « installer l’application », mais tous faisaient apparaître une confirmation d’installation supplémentaire de l’App Store
D’après https://developer.mozilla.org/en-US/docs/Web/Progressive_web..., Firefox ne prend pas en charge les PWA sans extension, donc ce n’était pas ça non plus
Même si une autre IP est renvoyée, elle doit passer la vérification TLS, et cela ne change pas les actions qu’un navigateur peut effectuer. Si c’était possible, ce serait une énorme vulnérabilité. DoH relève davantage de la confidentialité que de la sécurité
Sans plus d’informations, c’est étrange et difficile à comprendre, mais comme d’autres réponses le disent, c’était peut-être une PWA
Si c’était vrai, l’actualité en serait saturée, et les tabloïds tech s’en donneraient à cœur joie pour faire du clic avec ce FUD
Il est beaucoup plus plausible qu’elle ait approuvé l’installation ou cliqué sur quelque chose qui l’a déclenchée, puis ne s’en souvienne pas
À partir de quel moment ce genre de chose dépasse-t-il le dark pattern pour devenir illégal ?
On peut prétendre que l’utilisateur a consenti à téléverser ses mots de passe chez Microsoft, mais un site de phishing n’éviterait pas des poursuites simplement parce qu’il écrit dans ses conditions que « si vous saisissez votre mot de passe sur ce faux site bancaire, il sera téléversé chez ShadyFooCorp »
Quelle que soit l’amende, je pense qu’elle ne pèsera rien face au nombre d’utilisateurs que cette stratégie aura fait basculer vers Edge
Le seul argument un tant soit peu sérieux serait probablement qu’ils ont pris en compte le confort et l’intérêt de l’utilisateur, et qu’ils ne détournent pas ouvertement les mots de passe collectés
En tant qu’utilisateur régulier de Debian Linux, Windows, pour moi, c’est quasiment seulement au travail
Je laisse les réglages internes de Windows à l’équipe infrastructure, et les paramètres utilisateur ou les mises à jour ne sont pas mon problème. Mon ordinateur portable professionnel ne me sert que pour travailler
Il m’arrive parfois de devoir installer et configurer moi-même un Windows récent, comme sur le nouvel ordinateur portable de ma belle-mère, et je finis écœuré par toutes les petites tâches qu’il faut refaire. La dernière fois, il y avait de tout, de la création de compte aux actualités et à la météo dans la barre des tâches, en passant par Microsoft Edge
Je suis fier d’être utilisateur de Debian : ce n’est pas parfait, et je ne peux pas jouer à tous les jeux les plus récents, mais ça fournit tout le minimum dont j’ai besoin
J’aimerais que davantage de gens quittent Windows. Les joueurs devront peut-être renoncer à certains jeux non pris en charge, mais les entreprises, y compris les studios de jeux, vont là où se trouve l’argent
Plus les ordinateurs deviennent performants et pratiques, plus on perd en liberté, mais les gens ne s’en soucient pas
Après avoir complètement raté les débuts des vagues Web 1.0 et 2.0, la réponse de Microsoft semble avoir été de devenir une entreprise encore moins digne de confiance que Meta, Google, TikTok, Apple et Amazon réunis
Pris isolément, chaque changement peut ressembler à quelque chose que d’autres fournisseurs SaaS feraient aussi, mais dans l’ensemble, parmi les grands acteurs du marché cloud/SaaS, Microsoft semble être celui qui a le moins de retenue
Ce n’est pas nouveau. Il y a deux mois, quelqu’un a signalé le même comportement sur HN, et a écrit qu’avec la nouvelle mise à jour liée au DMA de l’UE, il avait supprimé Edge afin d’empêcher que l’historique de quelque navigateur que ce soit puisse être transmis à Microsoft
https://news.ycombinator.com/item?id=38430102
Microsoft Edge est une forme singulière de malware farceur. Le responsable du développement devrait au minimum être réaffecté, et un tel niveau d’hostilité envers l’utilisateur est inexcusable
J’ai récemment dû utiliser un ordinateur peu puissant (Celeron 6305, 4 Go de RAM, Windows 11), et Firefox ne tournait pas correctement. En passant à Edge, les pages web s’ouvraient beaucoup plus vite, avec bien moins de RAM et de CPU utilisés
Le problème, c’est qu’il a fallu aller dans les paramètres et désactiver au moins dix choses, comme l’assistant d’achat, Copilot, la barre latérale, etc. L’utilisateur moyen ne sait pas comment désactiver ces « fonctionnalités », ou n’est pas sûr d’avoir le droit de le faire, et finit donc avec un navigateur qui continue d’afficher des éléments publicitaires et d’envoyer beaucoup de données à Microsoft
En résumé, sur un ordinateur peu puissant, Edge fonctionne bien, mais Microsoft l’a gavé de toutes sortes de saletés
Deux choses m’intriguent
Dans un contexte où la suppression d’Edge n’est pas « autorisée » et où la désactivation complète de la télémétrie n’est pas non plus « autorisée », certains disent qu’il est possible que l’historique de navigation soit envoyé aux serveurs de Microsoft, qu’il ait été importé par Edge ou non
Cela ne devrait pas être très difficile à faire en dehors de l’EEE non plus
Il est évident que des ingénieurs ont participé à ce travail d’intégration. Certains d’entre eux lisent peut-être même ce billet ici
Je me demande quel récit ils construisent en interne pour justifier la mise en œuvre d’une telle fonctionnalité
Le désir de piétiner les utilisateurs au nom du profit n’est pas l’apanage des cadres de la publicité
Ils gagnent probablement assez d’argent pour ne pas avoir à penser à l’éthique. Tout le monde a un prix, surtout ceux qui ne possèdent pas d’actifs à leur nom
La plupart des entreprises high-tech qui paient les salaires de leurs développeurs grâce à des technologies manifestement antihumaines comme la publicité, le tracking, le profilage intrusif et l’agrégation de données personnelles sont dans le même cas. Pas besoin d’aller chercher les exemples bien loin
Étape 2 : fixer des objectifs trimestriels de KPI
Étape 3 : créer des user stories pour les fonctionnalités et changements censés atteindre ces objectifs
Étape 4 : implémenter, déployer, puis mesurer la hausse des KPI
Étape 5 : annoncer que la courbe des KPI a augmenté avec succès