Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

35 % des extensions Chrome accèdent aux données des utilisateurs sur n'importe quel site
D'après une étude du laboratoire Duo Labs

Le , par Jonathan

179PARTAGES

14  0 
Le géant de la technologie Google a encore fait parler de lui au travers de son célèbre navigateur Chrome qui est actuellement le navigateur le plus utilisé au monde. Il semblerait qu'environ 35 % des extensions du navigateur Chrome soient en mesure d'accéder aux données des utilisateurs sur n'importe quel site visité par ce dernier. C'est ce qu'a révélé une étude réalisée le mois dernier par l'équipe de recherche de la société américaine de cybersécurité Duo Labs.

Pour mener à bien cette étude, les chercheurs ont examiné plus de 120000 extensions Google Chrome et ont pu se rendre compte non seulement que plus d’un tiers de ces extensions accédaient aux données des utilisateurs sur n’importe quel site web, mais aussi que cela se faisait avec le consentement des utilisateurs. Ils parlent de consentement des utilisateurs, mais en réalité, il faut savoir que lors de l'installation d'une extension, celle-ci demande parfois aux utilisateurs d'approuver certaines autorisations et très souvent, ces derniers les leur accordent sans vraiment prêter attention.

Ces chiffres auraient pu ne pas être inquiétants, mais lorsque le même sondage révèle également que près de 85 % des 120000 extensions analysées n’ont pas de politique dédiée à la confidentialité des données, là il y a de quoi céder à la panique. Donc en gros, cela signifie que ces extensions n’ont pas de document juridiquement contraignant qui décrit comment les personnes qui les ont développées s’engagent à gérer les données des utilisateurs qu'ils ont en leur possession.


Les chercheurs ont notamment examiné les permissions demandées par les extensions aux utilisateurs, les domaines externes avec lesquels elles communiquaient, si les extensions utilisaient des bibliothèques vulnérables et si elles accédaient aux données OAuth2. Parmi les autres résultats de l'enquête, citons le fait que 77 % des extensions Chrome testées n'indiquaient pas de site de support, 32 % utilisaient des bibliothèques JavaScript tierces contenant des vulnérabilités connues du public et 9 % pouvaient accéder aux cookies, dont certains sont utilisés pour des opérations d'authentification. Ce travail a pu être réalisé avec l'aide d'une extension développée par ces chercheurs et appelé CRXcavator Gatherer.

Elle a été développée pour une utilisation en entreprise et les administrateurs système peuvent l'installer sur les ordinateurs des employés de l'entreprise. L'extension recueillera des informations sur ce que les employés ont chacun installé sur leurs ordinateurs, puis envoie ces données à un compte CRXcavator créé préalablement par les administrateurs système sur le portail de l'extension. En se rendant sur leur compte CRXcavator, les administrateurs ont la possibilité de consulter le score de risque CRXcavator de chaque extension installée par les utilisateurs sur leurs systèmes et à partir de ce moment peuvent décider d'autoriser ou d'interdire l'extension au sein de leurs réseaux.

Le navigateur web étant l'outil principal que nous utilisons pour accéder à internet et en prenant en compte le fait qu'ils représentent ce qui est probablement la plus grande surface d'attaque commune parmi les consommateurs et les entreprises, il est donc très important de garder un œil sur les extensions qu'on utilise, pour prévenir toute attaque.

Source : Duo Labs

Et vous ?

Qu'en pensez-vous ?
Prêtez-vous toujours attention aux autorisations que vous accordez aux extensions lors de leurs installations ?

Voir aussi :

Mozilla supprime 23 extensions Firefox qui ont siphonné les données de plus de 500 000 utilisateurs de façon malicieuse
Comment LinkedIn détecte les extensions installées sur votre navigateur, une découverte de Dan Andrews, développeur web chez Techstars
Google supprime quatre extensions Chrome qui ont été téléchargées plus de 500 000 fois impliquées dans une campagne de fraude aux clics

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Fagus
Membre actif https://www.developpez.com
Le 23/02/2019 à 14:49
C'est assez logique en fait. Les extensions sont largement gratuites et tout le monde ne bosse pas pour rien... Et ceux qui bossent pour rien n'ont pas les moyens de garantir que leur extension prend en temps réel tous les patchs de sécurité..

Partant de là, sous Firefox ça doit être pareil ou pire (vu leurs ressources plus limitées). Idéalement, il faudrait un système d'activation à la demande des extension avec une isolation par page dans le mécanisme de base (autant dire que ce n'est pas prêt d'arriver).

En attendant, faut peut être éviter d'avoir 50 extensions douteuses activées pour rien (c'est assez simple sous firefox d'activer à la demande).
2  0 
Avatar de Doksuri
Membre expert https://www.developpez.com
Le 25/02/2019 à 9:06
il y a 2 points que j'aimerai souligner :
1) n'imorte qui peut faire une extension : tu sais faire du html => bim tu peux en faire une (elle ne fera pas grand choses, certes... mais bon)
partant de ce principe, a mon avis, la plupart des extensions son faites par vous et moi, de maniere amatrice..., donc personne pour dire "attention, il faut crypter les donnes que tu utilises, blabla"...

2) en quoi c'est different des appli mobiles ???
ca fait des annees que ca dure, et a mon avis, il y a plus de monde ont un smartphone que chrome sur desktop...
pourquoi une appli lampe torche a besoin d'acceder a ta liste de contacts, historiques d'appels, stockage, etc....

ils font tout ce qu'ils peuvent pour informer les utilisateurs... s'ils ne veulent 1)pas lire les autorisations et 2)se poser des questions.. on ne peut rien faire de plus...
1  0 
Avatar de danyclassique
Membre du Club https://www.developpez.com
Le 02/03/2019 à 8:12
Êtes-vous sûr que la politique dédiée à la confidentialité est manquantes? C’est étonnant car Google nous bassine et sont assez sévère en ce qui concerne la politique de confidentialité quand par exemple on monte une application sur Google play , tout comme sont confrère Apple store d’ailleurs. Par contre en quoi pouvons-nous être étonné de se genre de démarches ? Facebook ne se gêne pas non plus mais bon , lui il la dit ouvertement , d’accord après que les juges le lui ont reproché .
0  0