Le géant de la technologie Google a encore fait parler de lui au travers de son célèbre navigateur Chrome qui est actuellement le navigateur le plus utilisé au monde. Il semblerait qu'environ 35 % des extensions du navigateur Chrome soient en mesure d'accéder aux données des utilisateurs sur n'importe quel site visité par ce dernier. C'est ce qu'a révélé une étude réalisée le mois dernier par l'équipe de recherche de la société américaine de cybersécurité Duo Labs.
Pour mener à bien cette étude, les chercheurs ont examiné plus de 120000 extensions Google Chrome et ont pu se rendre compte non seulement que plus d’un tiers de ces extensions accédaient aux données des utilisateurs sur n’importe quel site web, mais aussi que cela se faisait avec le consentement des utilisateurs. Ils parlent de consentement des utilisateurs, mais en réalité, il faut savoir que lors de l'installation d'une extension, celle-ci demande parfois aux utilisateurs d'approuver certaines autorisations et très souvent, ces derniers les leur accordent sans vraiment prêter attention.
Ces chiffres auraient pu ne pas être inquiétants, mais lorsque le même sondage révèle également que près de 85 % des 120000 extensions analysées n’ont pas de politique dédiée à la confidentialité des données, là il y a de quoi céder à la panique. Donc en gros, cela signifie que ces extensions n’ont pas de document juridiquement contraignant qui décrit comment les personnes qui les ont développées s’engagent à gérer les données des utilisateurs qu'ils ont en leur possession.
Les chercheurs ont notamment examiné les permissions demandées par les extensions aux utilisateurs, les domaines externes avec lesquels elles communiquaient, si les extensions utilisaient des bibliothèques vulnérables et si elles accédaient aux données OAuth2. Parmi les autres résultats de l'enquête, citons le fait que 77 % des extensions Chrome testées n'indiquaient pas de site de support, 32 % utilisaient des bibliothèques JavaScript tierces contenant des vulnérabilités connues du public et 9 % pouvaient accéder aux cookies, dont certains sont utilisés pour des opérations d'authentification. Ce travail a pu être réalisé avec l'aide d'une extension développée par ces chercheurs et appelé CRXcavator Gatherer.
Elle a été développée pour une utilisation en entreprise et les administrateurs système peuvent l'installer sur les ordinateurs des employés de l'entreprise. L'extension recueillera des informations sur ce que les employés ont chacun installé sur leurs ordinateurs, puis envoie ces données à un compte CRXcavator créé préalablement par les administrateurs système sur le portail de l'extension. En se rendant sur leur compte CRXcavator, les administrateurs ont la possibilité de consulter le score de risque CRXcavator de chaque extension installée par les utilisateurs sur leurs systèmes et à partir de ce moment peuvent décider d'autoriser ou d'interdire l'extension au sein de leurs réseaux.
Le navigateur web étant l'outil principal que nous utilisons pour accéder à internet et en prenant en compte le fait qu'ils représentent ce qui est probablement la plus grande surface d'attaque commune parmi les consommateurs et les entreprises, il est donc très important de garder un œil sur les extensions qu'on utilise, pour prévenir toute attaque.
Source : Duo Labs
Et vous ?
Qu'en pensez-vous ?
Prêtez-vous toujours attention aux autorisations que vous accordez aux extensions lors de leurs installations ?
Voir aussi :
Mozilla supprime 23 extensions Firefox qui ont siphonné les données de plus de 500 000 utilisateurs de façon malicieuse
Comment LinkedIn détecte les extensions installées sur votre navigateur, une découverte de Dan Andrews, développeur web chez Techstars
Google supprime quatre extensions Chrome qui ont été téléchargées plus de 500 000 fois impliquées dans une campagne de fraude aux clics
35 % des extensions Chrome accèdent aux données des utilisateurs sur n'importe quel site
D'après une étude du laboratoire Duo Labs
35 % des extensions Chrome accèdent aux données des utilisateurs sur n'importe quel site
D'après une étude du laboratoire Duo Labs
Le , par Jonathan
Une erreur dans cette actualité ? Signalez-nous-la !