« L'extension de navigateur "Stylish" vole votre historique internet », selon un développeur
Qui la voit désormais comme un logiciel espion

Le , par Stéphane le calme

121PARTAGES

15  0 
Stylish est une extension de navigateur open-source qui peut appliquer une feuille de style à une page web, en plus des Feuilles de Style en Cascade fournie par le site lui-même, pour customiser et personnaliser l'apparence de la page. Elle est disponible pour les navigateurs web basés sur Chromium (Google Chrome, Flock, Opera 15+) et sur Firefox, y compris sur la version Android.

Si l’application est relativement populaire (elle compte presque deux millions d’utilisateurs uniquement sur Chrome), le développeur Robert Heaton met en garde contre cette extension.


« Avant de devenir un outil de surveillance dissimulé déguisé en extension de navigateur exceptionnelle, Stylish était vraiment une extension de navigateur exceptionnelle. Elle a donné à ses utilisateurs rien de moins que le pouvoir de changer l'apparence de l'Internet. Sa vaste banque de skins créés par les utilisateurs donnait un fond sombre aux sites Web lumineux, supprimait les modifications de l'interface utilisateur, et ajoutait des images de manga à tout ce qui n'était pas déjà une image de manga », a-t-il déclaré en guise d’introduction.

Le développeur a reconnu avoir fait usage de l’extension lui-même : « J'ai passé de nombreuses heures merveilleuses dans son simple éditeur de CSS, cachant les parties distrayantes du web tout en étant espionné sans le savoir. Flux d’actualités Facebook - disparu. Flux d’actualités Twitter - disparu. L'historique de navigation personnelle - disparu. Qualité de vie et ennui inexpliqué - haut et bas respectivement ».

L'extension serait devenu un logiciel espion déguisé

Robert assure que depuis janvier 2017, Stylish a embarqué des fonctionnalités supplémentaires qui enregistrent tous les sites Web que sa grande base d’utilisateurs visitent.

« Stylish renvoie notre activité de navigation complète à ses serveurs, avec un identifiant unique. Cela permet à son nouveau propriétaire, SimilarWeb, de connecter toutes les actions d'un individu dans un seul profil. Et pour les utilisateurs comme moi qui ont créé un compte Stylish sur userstyles.org, cet identifiant unique peut facilement être lié à un cookie de connexion. Cela signifie que non seulement SimilarWeb possède une copie de nos historiques de navigation complets, mais possède également suffisamment d'autres données pour lier théoriquement ces historiques aux adresses e-mail et aux identités réelles », a-t-il affirmé.

Selon le développeur, cette direction a été prise après que le propriétaire et créateur original de Stylish l'a vendu en août 2016. En janvier 2017, le nouveau propriétaire l'a revendue en annonçant que « Stylish fait désormais partie de la famille SimilarWeb ». En parcourant la description promotionnelle de la famille de SimilarWeb, le développeur est tombé sur « des solutions de marché pour voir tout le trafic de vos concurrents » parmi ses intérêts déclarés.

En quoi est-ce dangereux ?

La politique de confidentialité de SimilarWeb indique qu'ils ne collectent que des données « non personnelles », une déclaration que le développeur suppose être techniquement vrai. Cependant, il rappelle que des incidents peuvent arriver :

« Lorsque vous confiez involontairement vos données personnelles à une entreprise comme SimilarWeb, non seulement vous devez espérer qu'ils n'ont pas d'intentions malveillantes (en plus de celles listées sur leur page de tarification), mais en plus vous devez espérer qu'ils ont de bons contrôles d'accès aux données, c’est à dire qu’ils n’aient aucun employé malveillant et dispose d’une sécurité assez forte pour empêcher le vol de toutes leurs données (qui étaient auparavant les vôtres). Pire encore, même la mise en cache d'une liste d'URL nominalement anonymisée a d'importantes implications en termes de confidentialité et de sécurité. La désanonymisation à l'aide d'adresses IP et les spécificités de l'historique de navigation d'un utilisateur sont souvent simples. Qui pensez-vous que cette personne visitant https://www.linkedin.com/in/robertjheaton/edit pourrait être ?


« Les URL uniques sans contexte supplémentaire peuvent également être très sensibles. Par exemple, certains sites Web utilisent des URL contenant des jetons d'authentification spéciaux pour connecter automatiquement leurs utilisateurs lorsqu'ils cliquent sur un lien dans un e-mail. Lorsqu'un utilisateur clique sur un lien tel que mysocialnetwork.com/inbox?login_token=fsdj80d ... etc ..., le site utilise le long login secret de l'URL comme mot de passe alternatif et connecte l'utilisateur à son compte. C'est une pratique risquée mais parfois défendable qui repose sur des jetons de connexion qui restent secrets et inaccessibles. Cependant, comme ils font partie de l'URL, Stylish les enregistre et les envoie aux serveurs SimilarWeb. Leurs bases de données contiennent vraisemblablement des identifiants de connexion secondaires pour les comptes d'utilisateurs sur un nombre quelconque d'autres services.

« Les URL sensibles peuvent également intervenir ailleurs. Mon fournisseur de soins médicaux en ligne me montre mes documents médicaux en utilisant des URL secrètes de 1000 caractères (générées par Amazon S3) qui expirent après une minute environ. Pour ces pages, aucune authentification de connexion au-delà de la simple connaissance de l'URL n'est requise. Toute personne ayant deviné le jeton d'authentification dans l'URL avant son expiration pourrait voir et télécharger mes documents médicaux. À mon avis, ce n'est pas la meilleure pratique de l'équipe d'ingénierie de mon fournisseur de soins médicaux en ligne. Mais le monde réel est plein de choses qui ne sont pas de bonnes pratiques, et aucun attaquant conventionnel ne sera en mesure de deviner une URL de 1000 caractères en une minute. Stylish leur facilite la vie en récoltant le tout et en l'enregistrant dans leur base de données. Maintenant, cette entreprise de publicité stupide possède également des indications sur mes dossiers médicaux. J'espère vraiment qu'ils ne seront jamais piratés.

« Le plus souvent, de nombreux sites utilisent des jetons d'URL pour permettre aux utilisateurs de réinitialiser un mot de passe oublié. Quand un utilisateur clique sur le bouton "Mot de passe oublié?", Le site web lui envoie un email contenant un lien spécial. Ce lien pointe vers une URL longue qui ressemble à quelque chose comme mysocialnetwork.com/password-reset?reset_token=a3dJ3 ... etc .... Lorsque l'utilisateur clique dessus, le site lit le reset_token, recherche l'utilisateur correspondant, et lui permet de réinitialiser son mot de passe en toute sécurité. Cependant, si un attaquant était capable d'intercepter ces URL et de terminer le processus de réinitialisation de mot de passe avant l'utilisateur réel, il aurait un contrôle total sur le compte. Une fois de plus, Stylish remonte ces URL de réinitialisation de mot de passe, prenant en charge la confidentialité et la sécurité de ses utilisateurs ».

Source : billet du développeur

Et vous ?

Utilisez-vous Stylish ? Qu'en pensez-vous ?
Partagez-vous le point de vue de Robert, qui estime que cette extension est devenue un logiciel espion, ou avez vous une opinion plus modérée ?
Quelles alternatives pourraient-être, selon-vous, plus intéressantes ?

Voir aussi :

Red Shell : les développeurs de jeux suppriment cet outil d'analyse marketing assimilé à un spyware par la communauté des joueurs
Google met un terme à l'installation des extensions Chrome à partir de sites web autres que sa boutique d'applications en ligne
Des chercheurs de Kaspersky découvrent de façon fortuite le spyware ultrasophistiqué Slingshot, qui a réussi à échapper à toute détection depuis 2012
Microsoft améliore les capacités défensives de Windows Defender et Office 365 avec des techniques de détection du spyware gouvernemental FinFisher
HP : accusée d'avoir déployé un spyware dans une récente mise à jour sur Windows 10 à l'insu des utilisateurs, l'entreprise s'explique

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Doksuri
Membre émérite https://www.developpez.com
Le 04/07/2018 à 8:27
je ne connaissais meme pas cette extension.

les devs honnetes se font de plus en plus rares...

faut pas se leurrer, c'est pareil pour tout. (meme les OS)
sans rien faire, en ecoutant le reseau, il y a tellement de data qui transfere....

avant, on lancait le soft, puis on le coupait, point.
maintenant, on coupe l'appli, ca continue de vivre en background pour avoir toujours des infos fraiches...

a vouloir toujours etre connecte...
1  0 
Avatar de onilink_
Membre expérimenté https://www.developpez.com
Le 04/07/2018 à 10:30
C'est fou ça, a chaque fois qu'un truc fonctionne bien y a anguille sous roche.
Je vais devoir trouver une alternative, c'est un des rares trucs efficaces que j'avais trouvé pour naviguer sur un web "sombre" pour pas fatiguer mes yeux (y a même un thème pour developpez.net).

Edit:
Cet envoie de données s'applique-t-il quand on a désactivé cette option? (coché par défaut)


https://userstyles.org/login/policy

OPT OUT RIGHT

You may opt out of the automatic collection and sharing of Non-Personal Information described above as follows:

For the Stylish browser extension:

Right click on the extension icon, select 'Options', and uncheck the box that says "Send anonymous data to Stylish developers". Note that once you opt out, part of the Services provided by the Stylish browser extension will no longer be available, meaning 1) install count won't be saved; and 2) "Suggested Web Styles" won't be available in the browser extension interface.
Edit2:
Bon, viré et je teste stylus, qui se veut un équivalent sans vol d'url. On verra ce que ça donne, mais déjà les thèmes ont pas l'air de courir les rues pour le moment.

Edit3:
Ah ben en fait c'est carrément compatible avec les styles stylish. Nickel.
1  0 
Avatar de Anselme45
Membre expérimenté https://www.developpez.com
Le 04/07/2018 à 11:20
Citation Envoyé par onilink_ Voir le message


Edit2:
Bon, viré et je teste stylus, qui se veut un équivalent sans vol d'url. On verra ce que ça donne, mais déjà les thèmes ont pas l'air de courir les rues pour le moment.

Edit3:
Ah ben en fait c'est carrément compatible avec les styles stylish. Nickel.
A en profiter jusqu'à la prochaine news qui annoncera que ta solution a les même pratique que stylish...
0  0 
Avatar de Xinsura
Membre du Club https://www.developpez.com
Le 04/07/2018 à 23:46
@onilink_ il me semble qu'il est même possible d'ajouter du code CSS dirrectement dans le fichier userChrome.css de Firefox, pour chaque page web. Et tout ceci, sans passer par une extension. J'en utilise un pour une application web au boulot, qui a un frontend pas très ergonomique.
0  0 
Avatar de onilink_
Membre expérimenté https://www.developpez.com
Le 05/07/2018 à 10:24
@Xinsura
Il faudra que je regarde ça, cela serait très intéressant vu que j'utilise des styles que sur une 10 aine de sites a tout casser.

Citation Envoyé par Anselme45 Voir le message
A en profiter jusqu'à la prochaine news qui annoncera que ta solution a les même pratique que stylish...
Oui bon A ce compte la on utilise plus rien Enfin j'espère qu'il retournera pas sa veste oui, surtout qu'a part ne plus utiliser un outil y a pas vraiment de moyen pour faire pression a ce genre de pratique.
0  0 
Avatar de 4sStylZ
Membre éclairé https://www.developpez.com
Le 06/07/2018 à 10:25
Stylus est open source, j’ai migré vers lui et il permet d’exploiter les feuilles de styles hebérgées sur le même site web (dont les miennes) donc c’est parfait comme ça.
0  0 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web