2 points par GN⁺ 2024-02-01 | 1 commentaires | Partager sur WhatsApp
  • Des signalements se multiplient selon lesquels Microsoft Edge pour Windows importerait les onglets ouverts et les données de navigation de Chrome sans l’autorisation de l’utilisateur, ou même lorsque le réglage correspondant est désactivé
  • Edge dispose d’une fonction capable d’importer depuis Chrome, à chaque lancement, presque toutes les données du navigateur, au-delà des favoris et des mots de passe enregistrés ; elle existe au moins depuis mi-2022
  • Tom Warren, de The Verge, indique qu’après un redémarrage Edge s’est ouvert avec les mêmes onglets que l’état précédent de Chrome, alors qu’il n’avait jamais autorisé l’importation et que le réglage était désactivé
  • Les cas récents semblent s’être multipliés après la mise à jour Windows 11 KB5034204 publiée le 23 janvier 2024 ; l’écran d’installation contient une mention indiquant qu’Edge importe régulièrement les données d’autres navigateurs
  • Microsoft a refusé de faire un commentaire officiel, mais une personne au fait du dossier indique que l’état de continuous import choisi sur un autre appareil pourrait avoir été synchronisé par erreur entre appareils, et qu’un correctif serait en cours pour la prochaine version Edge Stable

Polémique autour de l’importation automatique des données Chrome par Edge

  • Des utilisateurs Windows signalent qu’Edge importe sans autorisation les onglets ouverts et d’autres données de Chrome
  • Le point central du problème est que le même comportement se produit même lorsque le réglage concerné est désactivé
  • La fonction d’importation d’Edge ne se limite pas à un simple transfert ponctuel de favoris et de mots de passe : elle peut importer les données Chrome à chaque lancement
  • Si l’utilisateur est connecté avec un compte Microsoft, les données importées peuvent être synchronisées dans le cloud, ce qui pose problème pour ceux qui voulaient garder leurs environnements Chrome et Edge séparés

Des signalements d’utilisateurs déjà anciens

  • Depuis 2023, des utilisateurs Windows rencontrent des comportements inattendus avec la fonction d’importation d’Edge
  • Certains médias ont expliqué comment désactiver le réglage dans edge://settings/profiles/importBrowsingData, mais d’après les réactions des lecteurs et les signalements d’utilisateurs, l’importation continue même lorsque le réglage est désactivé
  • Plusieurs fils sur les forums de support Microsoft et des publications Reddit affirment également qu’Edge importe les données Chrome de manière inattendue, y compris lorsque le réglage est désactivé
  • Des employés de Microsoft et des conseillers indépendants ont proposé de vérifier le réglage ImportBrowsingData et d’ajouter une clé de registre de Group Policy pour désactiver manuellement l’importation automatique, mais les retours des utilisateurs penchent plutôt vers une absence d’efficacité

Le cas Tom Warren et sa diffusion

  • Tom Warren, de The Verge, a constaté qu’après un redémarrage Edge s’ouvrait avec les mêmes onglets que l’état de Chrome avant le redémarrage
  • Warren indique n’avoir jamais importé les données Chrome dans Edge ni autorisé l’importation des onglets ouverts de Chrome, et que le réglage était désactivé au moment de la vérification
  • D’après les signalements en ligne, ce phénomène touche plusieurs utilisateurs, mais il ne semble pas généralisé à tous

Changement notable après la mise à jour KB5034204

  • Les cas où Edge démarre avec les onglets Chrome déjà chargés semblent s’être particulièrement remarqués après la mise à jour Windows 11 KB5034204 publiée le 23 janvier 2024
  • L’écran affiché pendant l’installation de KB5034204 contient une mention selon laquelle Edge « importe régulièrement les données d’autres navigateurs disponibles sur les appareils Windows »
  • Le chercheur en sécurité Zach Edwards a estimé sur X/Twitter que cet écran d’installation pourrait cette fois laisser à Microsoft une marge d’explication
  • Toutefois, le problème d’importation des données Chrome par Edge n’est pas nouveau en soi et a déjà été documenté dans des messages de forums et des demandes d’aide

Réaction de Microsoft et questions en suspens

  • Outre le problème Edge, KB5034204 aurait aussi provoqué des échecs d’installation et des problèmes de démarrage chez plusieurs utilisateurs de Windows 11
  • D’autres sites ont également signalé des applications endommagées, des problèmes avec l’Explorateur de fichiers et des soucis de barre des tâches
  • Microsoft n’a pas fourni de réponse officielle aux questions sur ce problème et a aussi refusé de commenter officiellement le cas Edge
  • Une personne au fait du dossier indique que si un utilisateur a choisi continuous import dans l’expérience de premier lancement d’Edge sur un autre appareil, cet état pourrait avoir été synchronisé par erreur entre appareils
    • Cette personne estime que ce comportement ne correspond pas à l’expérience fonctionnelle prévue
    • Microsoft serait en train de traiter le problème dans la prochaine version Edge Stable

1 commentaires

 
GN⁺ 2024-02-01
Avis de Hacker News
  • C’est un doublon, il suffit de consulter la discussion précédente : https://news.ycombinator.com/item?id=39179929

  • Discussion publiée hier : https://news.ycombinator.com/item?id=39179929

  • À mon avis, Firefox ne protège généralement pas non plus contre ça
    J’ai montré à ma mère comment utiliser WhatsApp sur web.whatsapp.com pour partager plus facilement des captures d’écran ou des liens, et quelques secondes après la connexion, une notification de l’App Store a indiqué que WhatsApp avait été installé ; l’application Desktop était effectivement installée sans intervention de l’utilisateur
    Je ne sais pas comment ça a commencé, mais je me suis dit que ça pouvait être lié au fait que DoH est désactivé par défaut
    Cela dit, comme beaucoup de commentaires le suggèrent, il est très probable que ma mémoire me joue des tours ; après avoir effacé l’historique de whatsapp.com dans Firefox et supprimé l’application, j’ai essayé de reproduire le problème sans succès. J’ai bien vu trois boutons distincts « installer l’application », mais tous faisaient apparaître une confirmation d’installation supplémentaire de l’App Store
    D’après https://developer.mozilla.org/en-US/docs/Web/Progressive_web..., Firefox ne prend pas en charge les PWA sans extension, donc ce n’était pas ça non plus

    • Ça ressemble à une progressive web app (PWA), et il est probable qu’elle ait été incitée à appuyer sur une commande d’installation
    • Le DNS n’a, à mon avis, absolument rien à voir avec ça
      Même si une autre IP est renvoyée, elle doit passer la vérification TLS, et cela ne change pas les actions qu’un navigateur peut effectuer. Si c’était possible, ce serait une énorme vulnérabilité. DoH relève davantage de la confidentialité que de la sécurité
      Sans plus d’informations, c’est étrange et difficile à comprendre, mais comme d’autres réponses le disent, c’était peut-être une PWA
    • Je ne pense pas qu’une telle chose se soit produite
    • « L’application Desktop s’est installée sans intervention de l’utilisateur » est extrêmement peu probable
      Si c’était vrai, l’actualité en serait saturée, et les tabloïds tech s’en donneraient à cœur joie pour faire du clic avec ce FUD
      Il est beaucoup plus plausible qu’elle ait approuvé l’installation ou cliqué sur quelque chose qui l’a déclenchée, puis ne s’en souvienne pas
    • À cette adresse, il n’est pas possible de « se connecter à WhatsApp » ; on peut seulement télécharger et installer l’application, et le site l’indique très clairement
  • À partir de quel moment ce genre de chose dépasse-t-il le dark pattern pour devenir illégal ?
    On peut prétendre que l’utilisateur a consenti à téléverser ses mots de passe chez Microsoft, mais un site de phishing n’éviterait pas des poursuites simplement parce qu’il écrit dans ses conditions que « si vous saisissez votre mot de passe sur ce faux site bancaire, il sera téléversé chez ShadyFooCorp »

    • Beaucoup de ces tactiques sont probablement déjà illégales. Mais à ce stade, les amendes ne sont qu’un coût marketing
      Quelle que soit l’amende, je pense qu’elle ne pèsera rien face au nombre d’utilisateurs que cette stratégie aura fait basculer vers Edge
    • ShadyFooCorp n’a pas d’innombrables contrats avec l’État, et les ordinateurs de l’administration ne tournent pas sur son système d’exploitation
      Le seul argument un tant soit peu sérieux serait probablement qu’ils ont pris en compte le confort et l’intérêt de l’utilisateur, et qu’ils ne détournent pas ouvertement les mots de passe collectés
  • En tant qu’utilisateur régulier de Debian Linux, Windows, pour moi, c’est quasiment seulement au travail
    Je laisse les réglages internes de Windows à l’équipe infrastructure, et les paramètres utilisateur ou les mises à jour ne sont pas mon problème. Mon ordinateur portable professionnel ne me sert que pour travailler
    Il m’arrive parfois de devoir installer et configurer moi-même un Windows récent, comme sur le nouvel ordinateur portable de ma belle-mère, et je finis écœuré par toutes les petites tâches qu’il faut refaire. La dernière fois, il y avait de tout, de la création de compte aux actualités et à la météo dans la barre des tâches, en passant par Microsoft Edge
    Je suis fier d’être utilisateur de Debian : ce n’est pas parfait, et je ne peux pas jouer à tous les jeux les plus récents, mais ça fournit tout le minimum dont j’ai besoin
    J’aimerais que davantage de gens quittent Windows. Les joueurs devront peut-être renoncer à certains jeux non pris en charge, mais les entreprises, y compris les studios de jeux, vont là où se trouve l’argent
    Plus les ordinateurs deviennent performants et pratiques, plus on perd en liberté, mais les gens ne s’en soucient pas

  • Après avoir complètement raté les débuts des vagues Web 1.0 et 2.0, la réponse de Microsoft semble avoir été de devenir une entreprise encore moins digne de confiance que Meta, Google, TikTok, Apple et Amazon réunis
    Pris isolément, chaque changement peut ressembler à quelque chose que d’autres fournisseurs SaaS feraient aussi, mais dans l’ensemble, parmi les grands acteurs du marché cloud/SaaS, Microsoft semble être celui qui a le moins de retenue

  • Ce n’est pas nouveau. Il y a deux mois, quelqu’un a signalé le même comportement sur HN, et a écrit qu’avec la nouvelle mise à jour liée au DMA de l’UE, il avait supprimé Edge afin d’empêcher que l’historique de quelque navigateur que ce soit puisse être transmis à Microsoft
    https://news.ycombinator.com/item?id=38430102

  • Microsoft Edge est une forme singulière de malware farceur. Le responsable du développement devrait au minimum être réaffecté, et un tel niveau d’hostilité envers l’utilisateur est inexcusable

    • Ce qui est décevant avec Microsoft Edge, c’est que c’était un excellent navigateur, et qu’il pourrait encore l’être
      J’ai récemment dû utiliser un ordinateur peu puissant (Celeron 6305, 4 Go de RAM, Windows 11), et Firefox ne tournait pas correctement. En passant à Edge, les pages web s’ouvraient beaucoup plus vite, avec bien moins de RAM et de CPU utilisés
      Le problème, c’est qu’il a fallu aller dans les paramètres et désactiver au moins dix choses, comme l’assistant d’achat, Copilot, la barre latérale, etc. L’utilisateur moyen ne sait pas comment désactiver ces « fonctionnalités », ou n’est pas sûr d’avoir le droit de le faire, et finit donc avec un navigateur qui continue d’afficher des éléments publicitaires et d’envoyer beaucoup de données à Microsoft
      En résumé, sur un ordinateur peu puissant, Edge fonctionne bien, mais Microsoft l’a gavé de toutes sortes de saletés
    • Ce qui est étrange, c’est qu’ils l’ont complètement saboté avant même d’avoir construit une part de marché. Désormais, il est même pire que Chrome à cause des coupons non sollicités et des dispositifs de prêt
    • Ce doit être à cause des avocats
  • Deux choses m’intriguent

    1. Est-ce que cela ne se produit que si l’on utilise réellement Edge, ou bien est-ce que cela se fait automatiquement en arrière-plan même si l’on n’a jamais ouvert une fenêtre Edge ?
    2. Est-ce que les données ainsi collectées, qu’elles soient anonymisées ou non, remontent dans la télémétrie Windows ?
      Dans un contexte où la suppression d’Edge n’est pas « autorisée » et où la désactivation complète de la télémétrie n’est pas non plus « autorisée », certains disent qu’il est possible que l’historique de navigation soit envoyé aux serveurs de Microsoft, qu’il ait été importé par Edge ou non
    • On peut supprimer MS Windows
    • Dans l’EEE (UE), une mise à jour prévue dans quelques semaines permettra de désinstaller facilement Edge : https://blogs.windows.com/windows-insider/2023/11/16/preview...
      Cela ne devrait pas être très difficile à faire en dehors de l’EEE non plus
    • J’aimerais vraiment voir la réponse à la première question
  • Il est évident que des ingénieurs ont participé à ce travail d’intégration. Certains d’entre eux lisent peut-être même ce billet ici
    Je me demande quel récit ils construisent en interne pour justifier la mise en œuvre d’une telle fonctionnalité

    • Probablement une user story du genre : « En tant qu’utilisateur de MS Edge, je dois pouvoir retrouver immédiatement mes onglets Chromium quand j’ouvre MS Edge, afin de pouvoir poursuivre mon travail sans interruption dans MS Edge »
    • Savoir programmer n’a aucune corrélation avec le sens de l’éthique ou l’empathie
      Le désir de piétiner les utilisateurs au nom du profit n’est pas l’apanage des cadres de la publicité
    • Ce n’est peut-être pas si différent du récit qu’utilisent les employés de Google ou de Meta pour justifier la création de réseaux de suivi publicitaire et de surveillance à l’échelle mondiale, ainsi que des manipulations qui poussent les adolescents vers la dépression et la haine de soi
      Ils gagnent probablement assez d’argent pour ne pas avoir à penser à l’éthique. Tout le monde a un prix, surtout ceux qui ne possèdent pas d’actifs à leur nom
    • C’est un récit libellé en dollars. Quand l’argent entre, l’éthique sort
      La plupart des entreprises high-tech qui paient les salaires de leurs développeurs grâce à des technologies manifestement antihumaines comme la publicité, le tracking, le profilage intrusif et l’agrégation de données personnelles sont dans le même cas. Pas besoin d’aller chercher les exemples bien loin
    • Étape 1 : définir des KPI, comme la part d’utilisateurs d’Edge ou le nombre d’utilisateurs passés à Edge
      Étape 2 : fixer des objectifs trimestriels de KPI
      Étape 3 : créer des user stories pour les fonctionnalités et changements censés atteindre ces objectifs
      Étape 4 : implémenter, déployer, puis mesurer la hausse des KPI
      Étape 5 : annoncer que la courbe des KPI a augmenté avec succès