Édouard
Les extensions, notamment Chrome, sont un complément précieux à votre utilisation quotidienne. Aujourd’hui, une nouvelle étude conclut que le navigateur de Google regroupe des milliers d’extensions autorisées à extraire les données personnelles des utilisateurs.
Les extensions vont au-delà des capacités des navigateurs Web, ajoutant de nouvelles fonctionnalités, modifiant le contenu des pages ou automatisant les tâches. Ceci, toujours dans l’optique d’améliorer l’expérience utilisateur.
Nous avons ceux qui gèrent les données de connexion, ceux qui servent d’outils de productivité, ceux qui révisent et corrigent les textes présentés sur les pages, ceux qui aident à bloquer les publicités, entre autres.
Équipe commerciale assemblant un puzzle isolé illustration vectorielle plate. Partenaires de dessins animés travaillant en relation. Concept de travail d’équipe, de partenariat et de coopération
Les extensions sont précieuses car elles peuvent manipuler le contenu des pages pour répondre aux besoins des utilisateurs. Par conséquent, Google a intégré plusieurs réglementations dans Chrome pour empêcher les agents malveillants d’exploiter ces fonctionnalités et de collecter des données privées.
Cependant, des chercheurs de l’Université du Wisconsin-Madison, aux États-Unis d’Amérique, ont démontré qu’il était possible de contourner les mesures de protection et d’extraire des informations sensibles à l’aide de certains plug-ins.
Beaucoup ont un accès illimité à l’arborescence DOM (Document Object Model) d’un site. C’est-à-dire la structure qui définit la manière dont il est accédé et utilisé. De cette façon, ils peuvent voir les zones de texte dans lesquelles les utilisateurs écrivent des informations, telles que des mots de passe et des numéros de carte.
Les chercheurs ont développé leur propre extension malveillante
Afin de corroborer leurs conclusions, l’équipe de chercheurs a développé sa propre extension malveillante et l’a ajoutée au Chrome Web Store.
Il l’a présenté comme un assistant basé sur GPT avec des fonctions similaires à ChatGPT sur les sites Web et a demandé l’autorisation de s’exécuter sur toutes les pages. Comme l’a révélé l’équipe, l’extension a passé le processus de vérification du magasin sans aucun problème.
Les chercheurs ont découvert que plus d’un millier des sites Web les plus populaires au monde, y compris certains portails de Google et Cloudflare, stockent les mots de passe en texte brut dans le code source HTML de leurs pages. En outre, ils ont conclu que 7 300 autres personnes sont vulnérables à l’accès au DOM.
En raison du modèle d’autorisations rudimentaire des navigateurs, il existe un manque de frontière de sécurité entre le plugin et la page.
Cette absence de limite permet au plug-in d’interagir et de manipuler librement les éléments HTML, donnant ainsi un accès direct aux données saisies par l’utilisateur.
AdBlock Plus est l’une des extensions mises en avant par les chercheurs
Les chercheurs ont téléchargé toutes les extensions disponibles sur le Chrome Web Store et analysé leurs fonctionnalités et les autorisations qu’ils ont demandées. Ce faisant, ils ont découvert que 12,5% du total disposent des autorisations nécessaires pour exploiter les vulnérabilités.
Il existe environ 17 000 extensions, certaines aussi populaires qu’AdBlockPlus et Honey, avec plus de 10 millions d’utilisateurs.
Le problème est clair : si une personne malveillante parvient à accéder ou à manipuler des champs tels que des zones de texte, « elle peut voler les informations privées de l’utilisateur, usurper son identité ou même commettre une fraude financière ».
Envie de vous détendre un peu ? Voici un reportage très intéressant sur l’intelligence artificielle :
