Google Tonalité : Intel s’inquiète de l’extension Chrome de transfert d’URL par ondes sonores
Non, mais allo quoi !
Google a récemment mis en ligne une nouvelle extension Chrome, Google Tonalité, qui permet d'échanger des URL (et potentiellement plus), via des ondes sonores. Le principe est simple, mais inquiète tout de même Intel à cause de « risques potentiels graves ».
Google Tonalité : une extension dans la droite lignée de l'application Chirp
Il y a quelques jours, Google se fendait d'un billet de blog pour annoncer une nouvelle extension expérimentale pour Chrome : Google Tone, ou Tonalité dans la langue de Molière. Une fois installée, elle permet de diffuser une URL en utilisant les ondes sonores. Une autre machine équipée de la même extension et dont le micro est ouvert peut alors la récupérer et, via une notification sur le bureau, invite l'utilisateur à cliquer sur l'URL afin d'y accéder.
Simple et efficace et, cerise sur le gâteau, ce service fonctionne à travers Hangout, et probablement d'autres applications plus tard. La société précise que les ondes sonores sont émises sur le spectre audible afin d'être parfaitement prises en compte par un micro classique (qui est souvent équipé de filtres afin de ne laisser passer que le spectre audible). Un principe de fonctionnement original, mais qui n'est pour autant pas nouveau et qui rappellera probablement des souvenirs aux nostalgiques des modems RTC qui écoutaient l'établissement de la liaison.
De plus, sur Android et iOS on retrouve par exemple l'application Chirp qui permet même d'aller plus loin que Google Tonalité puisque, en plus d'une URL, il est question de vidéos (jusqu'à 6 secondes), de photos, de GIF animés, etc. Le fichier n'est par contre pas directement transmis via l'audio (même si cela reste évidemment possible), mais via un lien permettant ensuite de le télécharger sur les serveurs de la société. Hasard ou pas du calendrier, la société est en train de lever des fonds via la plateforme CrowdCube (290 000 livres récoltées sur les 400 000 demandées).
Intel s'inquiète des dangers de cette solution « simple et élégante »
Matthew Rosenquist, responsable de la cybersécurité chez Intel et présentateur de plusieurs conférences sur ce sujet, revient sur cette annonce avec un point de vue assez tranché. Pour lui, Google Tonalité est « simple et élégante », mais cette extension apporte « quelques risques potentiels graves », car les « liens malveillants pourraient sauter à travers "l’air gap" ». Pour rappel, ce terme désigne la séparation physique de réseaux informatiques, censée éviter toute interaction et tentative de piratage d'un réseau en passant par l'autre.
Afin d'illustrer son propos, il donne un exemple parlant : « Imaginez que vous êtes dans un café, ou bien un espace bondé avec des gens qui s'ennuient sur leurs téléphones, tablettes ou ordinateurs portables. Un système compromis pourrait être en mesure de se propager et d'infecter d'autres personnes sur des réseaux différents, en passant outre l'isolation physique des machines. De plus, un logiciel malveillant pourrait tirer parti de l'extension Google Tonalité afin d'introduire une série d'instructions sonores qui, si elle était activée sur les appareils ciblés, redirigerait tout le monde automatiquement vers un site piégé, téléchargerait des logiciels malveillants ou spammerait avec des messages de phishing ».
Un tableau pessimiste et comprenant une certaine dose de « si ». De plus, dans son scénario, Intel oublie tout de même que l'ouverture du lien et l'installation de logiciels requièrent l'intervention de l'utilisateur. Néanmoins, il s'agit d'un point de vue intéressant comme pire cas possible.
Des limitations bien utiles : connexion à Internet obligatoire et pas d'échange de fichier
Matthew Rosenquist revient ensuite sur un autre point de l'annonce de Google : le partage de fichiers. Si cela n'est pas (encore ?) possible dans l'extension mise en ligne, c'est une fonctionnalité déjà utilisée par les équipes du géant du web en interne, comme précisé dans le billet de blog. Pour le responsable de chez Intel, cela serait une porte grande ouverte sur la diffusion de logiciels malveillants, et ce, sur des machines qui ne sont pas forcément sur le même réseau.
Ce point est néanmoins déjà pris en considération par Google qui indique clairement qu'il s'agit d'une limitation volontaire : « seules des URL sont diffusées dans le cadre du service Google Tone. De cette manière, les destinataires ne peuvent pas automatiquement accéder aux pages auxquelles ils n'auraient normalement pas accès ». Il est question ici de fichiers confidentiels, mais cela s'applique également aux logiciels malveillants. Le géant du Net en profite pour rappeler que, bien évidemment, « les messages diffusés par Google Tone sont, par définition, publics ». Il pourrait difficilement en être autrement avec des ondes sonores audibles.
Il convient de rappeler que Google Tonalité nécessite une connexion à Internet pour fonctionner. D'après nos constatations, une machine hors ligne (Wi-Fi désactivé et/ou prise Ethernet débranchée par exemple) n'est pas en mesure d'afficher la moindre notification provenant de cette extension. Cela est en partie dû à son principe de fonctionnement, car « les URL sont enregistrées temporairement sur les serveurs de Google » précise la firme de Mountain View. Tonalité permet donc d'échanger des informations, mais il faudra établir une liaison entre les machines, au moins via Internet et les serveurs de Google.
Donc, même si le navigateur Chrome et l'extension Google Tonalité se retrouvaient installés sur une machine isolée physiquement des autres réseaux (et donc non-reliée à Internet), le schéma décrit par l'ingénieur d'Intel est donc actuellement impossible à mettre en place.
Et si Google Tonalité était une nouvelle entrée pour la publicité ?
Le responsable d'Intel évoque ensuite une autre possibilité d'utilisation, certes moins dangereuse pour la sécurité des systèmes informatiques, mais pas forcément moins ennuyeuse ou intrusive pour les utilisateurs : « un panneau d'affichage diffusant des tonalités d'annonces vers des pages publicitaires ou de marketing dans votre navigateur ». Il ajoute que « la même chose pourrait arriver lorsque vous faites des emplettes dans un magasin afin de promouvoir certains produits ainsi que des coupons par exemple », à condition que Google Tonalité débarque sur les mobiles, ce qui n'est pas (encore ?) le cas. Et Matthew Rosenquist se demande finalement si « cela n'ouvrira pas la voie à une nouvelle manière de pousser du contenu indésirable dans nos vies » ?
Pour conclure, Matthew Rosenquist recommande d'utiliser Google Tonalité « avec précaution ». Il est en effet aisé d'installer l'extension afin de procéder à quelques tests, mais elle sera automatiquement répliquée sur l'ensemble de vos machines pour peu que vous soyez connectés avec votre compte Google sur chacune d'entre elles. Une fois les premiers tests passés pour s'amuser , le risque est d'oublier de la désinstaller et de la laisser trainer dans un coin avant qu'elle ne se réveille d'un coup lorsqu'un son connu passera à portée de l'ordinateur. Pour rappel, il suffit d'effectuer un clic droit sur son icône, ou bien de se rendre sur la page de gestion des extensions via ce lien, pour la supprimer du navigateur.
De plus, il recommande aux entreprises de ne pas l'installer tout de suite à cause des risques potentiels. « Pour ma part je regarderai comment les hackers créatifs exploiteront cette fonctionnalité et combien de temps il faudra aux entreprises spécialisées dans la sécurité afin de répondre à ce nouveau type de menace » ajoute-t-il en guise d'avertissement.
Un concept intéressant, à utiliser avec parcimonie
Au final, c'est surtout le principe même de fonctionnement qui est pointé du doigt par le responsable d'Intel, plus que l'extension elle-même qui ne représente qu'un risque de sécurité relativement faible dans son état actuel. Mais, comme on a pu le voir avec Stuxnet, la moindre porte d'entrée sur un réseau séparé physiquement peut être exploitée par des pirates. Il s'agissait alors d'une clé USB qui se baladait entre différentes machines, jusqu'à tomber sur celle qui lui a permis de piéger des centrifugeuses iraniennes d’enrichissement d'uranium.
Ici il ne s'agit pas d'une clé USB, mais d'ondes sonores. Pour autant, la parade est simple pour des systèmes critiques puisqu'il suffit de ne pas avoir de micro sur ces machines (ou même Chrome et son extension), rien de bien compliqué en somme. Le problème est plus complexe pour les entreprises (et les particuliers) où les ordinateurs ont bien souvent des micros, ne serait-ce que pour participer à des conférences. Il faudra alors responsabiliser les utilisateurs, un problème qui ne touche pas que Google Tonalité et qui est bien plus large.
La vision des deux protagonistes s'oppose assez franchement : d'un côté Google et son extension « construite en un après-midi pour le plaisir » et de l'autre Intel qui imagine un scénario catastrophe avec des « risques potentiels graves », et ce, à partir de possibles évolutions de cette dernière.
Commentaires (48)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 27/05/2015 à 13h31
Oui ça fait une peu “une solution à la Google” => tout passe par notre cloud 
" />
Mais d’un autre coté, ça permet de pouvoir facilement étendre le service pour partager des photo/films, sans différence significative (on pousse le fichier sur drive, et je fournis que le lien vers ce drive).
Le 27/05/2015 à 14h12
Est-ce que si on joue 5 notes particulières, les ET débarquent ?
" />
Le 27/05/2015 à 14h14
Le 27/05/2015 à 14h24
un web service, une carte son, et un haut parleur … c’est compliqué ? 
" />
Le 27/05/2015 à 14h29
Le 27/05/2015 à 21h57
Ce truc va vite se retrouver INtégré à Pushbullet… le “truc” qu permet du partage INter-machines à la cool sans devoir comprendre… et hop… un nouveau “channel”!
" />
C’est finalement juste un autre moyen de…
Me demande d’ailleurs combien de temps avant que Google ne rachète Pushbullet!
Le 29/05/2015 à 08h15
mon commentaire n’était pas si sérieux que ça, bien qu’un peu teinté de cynisme. Après ça (la transmission d’informations par fréquences vocales, le stockage d’informations sur bande magnétique hors des réseaux), le marketing des grosses sociétés high tech, de La French Tech, etc viendra nous venter les réseaux, le cloud, le “tout connecté”…
Pour autant, c’est très bien que Google utilise des technologies existantes pour inventer autre chose.
Le 29/05/2015 à 08h19
Justement, les entreprises de cloud VENDENT le fait que, c’est CHIANT de faire des backup et surtout des backup sécurisés, donc envoyez nous vos données et c’est nous qui allons faire la distribution, la sécurisation, ET le backup de vos données.
Donc oui, ils utilisent des solutions de sécurisation qui font leur preuves, et c’est bien ce qu’ils vendent avec ça … de mon point de vue, c’est justement le contraire qui serait choquant …
Le 29/05/2015 à 08h23
bien vu, au temps pour moi : une bande magnétique peut effectivement stocker de l’information numérique (binaire). Je me disais bien que quelqu’un allait relevé mon erreur.
Le 27/05/2015 à 07h33
Pour dépanner ca peut être sympa, mais pour le reste ca va etre avant tout chiant a la longue.
Du bip dans tous les sens…
Ce sont en général les pc desktop qui en auraient le plus besoin (les portables et smarttucs ont déjà du bluetooth ou autre pour faire du transfert); et ce n’est pas garantit d’avoir tjs un micro sur un pc desktop.
Le 27/05/2015 à 07h34
Bien vu pour la pub.
Le 27/05/2015 à 07h35
Marrant comme techno.
Il me semble que la Chromecast utilise déjà ce principe mais dans les fréquence inaudibles pour l’appareillage facile.
Les critiques d’Intel sont valables pour toute techno sans fil.
Le 27/05/2015 à 07h37
Ca en fait du drama pour une extentions “proof of concept” que personne n’utilisera 
" />
Le 27/05/2015 à 07h44
pour envoyer une URL vers un smartphone, ça peut être super utile par contre. y’a pas des applis pour ça?
Le 27/05/2015 à 07h47
Le 27/05/2015 à 07h47
Chrome
" />
Le 27/05/2015 à 07h50
depuis un PC fixe : pas de bluetooth (enfin si, mais pour la démonstration on va dire que non)
le transfert d’url par wifi, c’est un peu overkill (et je saurais même pas comment faire)
le QR code, c’est chiant (mais ça marche)
pour l’instant, la meilleure solution que j’ai, c’est google keep.
et je n’ai pas forcément les mêmes navigateurs sur mobile et sur fixe. (et c’est fait exprès)
Le 27/05/2015 à 07h52
Serieusement, dans le monde où tout le monde est connecté, tout le monde utilise entre 2 et 3 outils de communications différents (skype, facebook messenger …), imaginer que par exemple, pour refiler un lien rigolo dans l’open space, je vais passer par cet outil, pour que “TOUT LE MONDE” dans l’open space reçoive mon lien (et hop les notif sur tous les téléphones) … sérieusement ? 
" />
" />
Dans le métro les mecs qui m’envoient des popup & co …
C’est fun … peut être que tu peux en avoir un usage une fois par mois (“regardez cette video rigolotte) … mais franchement c’est plus un délire “fun” qu’un produit qui a de l’avenir si tu veux mon avis
Le 27/05/2015 à 07h54
sachant qu’il faut quand même que les personnes qui reçoivent : ai un micro ET chrome ET l’extension ET donnent leur permission.
ça limite l’impact.
Le 27/05/2015 à 07h57
Tiens ! Google réinvente le fax !
Le 27/05/2015 à 08h01
Si on a déjà installé Google Chrome, je ne vois pas où est le risque supplémentaire avec Google Tone…
" />
Sinon j’adore la vision qu’a Matthew Rosenquist de l’usage des nouvelles technologies :
[…] avec des gens qui s’ennuient sur leurs téléphones, tablettes ou ordinateurs portables.
Le 27/05/2015 à 08h02
Merci pour cet article intéressant!
Je comprends pas trop la polémique sur l’air gap… De toute façon, pour reprendre son exemple, les mobiles, bien que séparés par un espace physique, sont aussi interconnectés (indirectement) par le wifi/3G. Ajouter un réseau radio ne ferait qu’ajouter un mode de transmission supplémentaire non?
Il faut juste s’assurer qu’on a le contrôle du micro, tout comme il faut s’assurer qu’on ne se connecte par n’importe comment aux réseaux wifi publics…
Le 27/05/2015 à 08h03
Le fax permettait de diffuser des lien internet à 2 à 3m de distance ? 
" />
" />
Oulà, c’est pas ce que j’avais compris
Le 27/05/2015 à 08h08
bah oui, t’imprimes le lien et tu le fax dans le bureau d’a coté
" />
Le 27/05/2015 à 08h34
Vu que ca doit être désactivable, enfin je pense même qu’il faut l’activer genre “ecoute l’url !” je ne vois pas trop le soucis… c’est pas pire que les solutions de marketing bluetooth qui existent, et qui ont bien plus de possibilité que Google Tone finalement.
Donc pousser de la pub ? Je n’y crois pas plus qu’au QR Code intégré dans le bandeau publicitaire ou à “shazamer la pub” pour avoir plus d’info : finalement ca reste un acte volontaire.
Le 27/05/2015 à 08h53
Je trouve ça plutôt chouette personnellement…
Si on peut s’envoyer un lien de smartphone à pc en mode bipbip aisément, c’est tout bon pour moi ^^’
Le 27/05/2015 à 09h05
Le 27/05/2015 à 09h07
mouais…. ce pseudo QR code audio n’a pas fini de nous casser les oreilles.
il n’y a rien d’élégant à s’introduire de force dans le tympan de quelqu’un
Le 27/05/2015 à 09h08
http://www.engadget.com/2014/06/27/chromecast-ultrasonic-pairing/
Le 27/05/2015 à 09h26
je pensais plus à un périphérique sans ces technos. (PC fixe vers smartphone et vice versa)
Le 27/05/2015 à 09h29
En fait je pense que le gros souci est la diffusion en mode broadcast.
En NFC faut être tout près, ça réduit le champ des possibilités (bien que je considère que qu’une action mécanique obligatoire est un plus en terme de sécurité).
En Bluetooth seul le nom est diffusé, il y a un appairage, une validation et une action nécessaire.
Là, ça balancerait un lien à tout le monde en même temps, ça ne me plait guère non plus, surtout si c’est encore pour nous matraquer de publicité…
Le 27/05/2015 à 09h38
Ouais, enfin la technologie de transfert de données binaires par audio n’est carrément pas nouvelle. C’est juste une évolution de technologies très utilisées dans les années 80 comme le stockage sur cassette audio ou les modems.
Bref, rien de vraiment révolutionnaire
Le 27/05/2015 à 09h40
Et ce qui est beau c’est que personne n’a prétendu que c’était révolutionnaire … elle est pas belle la vie ? 
" />
Le 27/05/2015 à 09h46
OK, merci pour le lien.
friends can pair their devices to your living room entertainment setup via inaudible ultrasonic frequencies.
Apparently, all one needs to do to enable this is allow the Chromecast
to support nearby devices, and it’ll push the necessary tones through
your flat-screen’s speakers
C’est quand même pas gagné pour que des haut-parleurs de télé, généralement pas d’excellente qualité, et dont la bande passante vers le haut n’est pas non plus énorme (et de toutes façons les HP ne sont pas conçus pour reproduire les ultra-sons, et l’électronique non plus), arrivent à en sortir. Apparemment malgré un rendement très faible ça serait suffisant.
Le 27/05/2015 à 10h00
c’est la revanche de l’analogique sur le numérique.
Ca me fait penser que Google fait (ou faisait) des sauvegardes de ses données sur bande magnétique :
Des bandes magnétiques sauvent Gmail de la catastrophe - Numerama
Comme quoi, le numérique, les appli., les smart(objets), etc. Tout ça n’est pas aussi “moderne”, dans la “vibe” qu’il y paraît.
Le 27/05/2015 à 10h21
Sérieusement, c’est une victoire de l’analogique qu’une entreprise fasse des backups sur bande magnétique ? 
" />
" />
Il y a des victoires faciles quand même
Le 27/05/2015 à 11h12
Le 27/05/2015 à 11h27
En quoi une bande magnétique est analogique ? A ce compte la nos bon vieux HDD sont analogiques alors ? Faudrait pas tout confondre non plus hein
" />
L’archivage sur bande magnétique est largement répandu… avec les robots de sauvegardes et les bandes LTO c’est l’idéal pour archiver des données sur de longues périodes.
Le 27/05/2015 à 11h46
Le 27/05/2015 à 11h59
Et si Google Tonalité était une nouvelle entrée pour la publicité ?
C’est sûrement pour ça en fait. Donc, Firefox (ou autre navigateur que Chrome) obligatoire à l’avenir …
Le 27/05/2015 à 12h16
Le 27/05/2015 à 12h26
Sérieusement … aucune chance que ça soit intégré de base dans Chrome et/ou sur Android
Juste “aucune chance” … sachant que Google privilégie le cloud pour transférer les info d’un Android à un chrome (exemple http://www.engadget.com/2015/04/25/send-directions-via-google-search/ ).
Je suis prêt à te parier un champagne que ça ne sera jamais intégré à Chrome de base ou à Android (la preuve, au lieu de l’intégrer dans une update de Chrome, ils le présentent comme une extension).
Le 27/05/2015 à 12h46
Pas pire que le NFC pour la sécurité j’imagine.
Le 27/05/2015 à 12h50
C’est quoi le débit de cette techno ?
Le 27/05/2015 à 12h57
on s’en fout, il envoi qu’un lien et le PC distant va chercher le lien.
donc le débit a pas à être grand … par contre tout passe par les serveurs Google du coup.
Le 27/05/2015 à 13h23
url raccourcie?
Le 27/05/2015 à 13h27
Si je comprend bien ce que dit la news, tu dois avoir l’extension sur les 2 devices et ça ne fonctionne pas en offline.
Donc j’imagine que le device envoyant pousse le lien web sur le webservice Google, récupére un identifiant, et envoit par les hauts parleurs une “trame de reconnaissance” + identifiant de la requête.
De sont coté, le device recevant reconnais la trame dans le buit ambiant, et dechiffre l’identifiant, et fait une requête sur leur webservice pour cet identifiant pour qu’on lui envoit l’url.
En tout cas c’est comme ça que je l’interprète.
Le 27/05/2015 à 13h29
ha ouais, c’est pas aussi simple que je pensais.