Points clés à retenir
- La majorité des extensions du Chrome Web Store nécessitent des autorisations dangereuses qui peuvent être utilisées à des fins malveillantes.
- Tous les navigateurs Web tentent de résoudre le problème des extensions capricieuses.
- Le Manifeste V3 de Google est l'une de ces solutions qui résout certains problèmes mais fait peu pour régner sur les autorisations disponibles pour les extensions.
Vous vous souvenez de cette extension de navigateur de vérification orthographique qui demandait des autorisations pour lire et analyser tout ce que vous tapez ? Les experts en cybersécurité avertissent qu'il y a de fortes chances que certaines extensions abusent de votre consentement pour voler les mots de passe que vous saisissez dans le navigateur Web.
lire aussi: comment savoir si son mot de passe a été piraté?
Pour aider les utilisateurs à Déterminer les dangers des extensions Web, la société de sécurité numérique Talon a analysé le Chrome Web Store pour signaler que des dizaines de milliers d'extensions qui ont accès à des autorisations inquiétantes, telles que la possibilité de modifier les données sur tous les sites visités, de télécharger des fichiers, d'accéder activité de téléchargement, et plus encore.
"De nombreuses extensions populaires mettent les utilisateurs en danger", a expliqué le co-fondateur et directeur technique de Talon Cyber Security, Ohad Bobrov, « [Même] les extensions sans conséquences peuvent présenter des vulnérabilités dans leur code , et peuvent être susceptibles d'être reprises par des acteurs malveillants. »
Extensions capricieuses
Talon soutient que les extensions offrent une grande valeur à leurs utilisateurs et apportent une multitude de fonctionnalités utiles aux navigateurs Web, telles que le blocage des publicités, la vérification orthographique, la gestion des mots de passe, etc. Cependant, pour apporter ces fonctionnalités, les extensions nécessitent de larges autorisations pour modifier le navigateur, son comportement et les sites web visités.
« Naturellement, ce niveau de contrôle et d'accès peuvent constituer une menace importante pour la sécurité et la confidentialité des utilisateurs », a expliqué Talon.
La société ajoute que malgré le processus de vérification de Google, de nombreuses extensions malveillantes parviennent à passer à travers les lacunes et finissent par avoir un impact négatif sur des millions d'utilisateurs . Son analyse a révélé que plus de 60 % de toutes les extensions du Chrome Web Store sont autorisées à lire ou à modifier les données et l'activité des utilisateurs.
vérificateurs d'orthographe
Par exemple, Talon dit que les vérificateurs d'orthographe et de grammaire demandent l'autorisation d'injecter des scripts qui s'exécutent à partir du contexte de la page Web pour analyser le texte de l'utilisateur. Ils le font généralement en inspectant les champs de saisie ou en enregistrant les frappes de l'utilisateur par d'autres moyens. La société affirme que cela permet effectivement aux extensions de collecter et d'exfiltrer toute information sur la page Web, y compris les mots de passe et autres données sensibles .
Les bloqueurs de publicités
Ensuite, il y a le blocage des publicités, qui constitue certaines des principales extensions du Chrome Web Store. Cette fonctionnalité implique la suppression d'éléments de la page et nécessite les mêmes autorisations que les correcteurs orthographiques.
"On ne sait pas quelles données ont été exfiltrées, mais cela peut potentiellement voler n'importe quoi sur n'importe quelle page, y compris des mots de passe."
De même, les autorisations accordées au partage d'écran et aux extensions de vidéoconférence pour effectuer la tâche prévue peuvent également être utilisées à mauvais escient pour capturer l'écran et l'audio de l'utilisateur.
uBlock Origin
"Deux vulnérabilités ont été découvertes dans uBlock Origin au cours des derniers mois, ce qui a permis aux attaquants d'exploiter la permission de l'extension de lire et de modifier les données sur tous les sites et de voler des informations sensibles", nous a dit Bobrov.
"Les bloqueurs de publicités comme uBlock Origin sont extrêmement populaires et ont généralement accès à chaque page qu'un utilisateur visite. En coulisse, ils sont alimentés par des listes de filtres fournies par la communauté - des sélecteurs CSS qui dictent les éléments à bloquer. Ces listes ne sont pas entièrement fiables , ils sont donc contraints d'empêcher les règles malveillantes de voler les données des utilisateurs », a écrit le chercheur en sécurité Gareth Heyes alors qu'il démontrait l'utilisation des vulnérabilités de l'extension pour voler des mots de passe.
Bobrov a également partagé qu'en 2019, la populaire extension The Great Suspender , qui comptait plus de deux millions d'utilisateurs, avait été achetée par un acteur malveillant, qui a ensuite exploité ses autorisations pour injecter des scripts afin d'exécuter du code non révisé et hébergé à distance dans des pages Web.
"On ne sait pas quelles données ont été exfiltrées", a-t-il déclaré, "mais cela aurait pu potentiellement voler n'importe quoi sur n'importe quelle page, y compris des mots de passe".
Pas de vraie solution
Bobrov affirme que Chrome et pratiquement tous les autres navigateurs Web de premier plan s'efforcent de contenir le risque de sécurité posé par les extensions, non seulement en améliorant leur processus de vérification, mais également en limitant certaines des capacités des extensions.
Manifest V3
Une de ces mesures récentes, souligne Bobrov, est le Manifest V3 de Google . Il dit que pour l'utilisateur moyen, la différence la plus notable que Manifest V3 apporterait aux extensions est une interdiction complète du code hébergé à distance et un changement dans la façon dont les extensions modifient les demandes Web. Cependant, il ajoute qu'à la baisse, Manifest V3 a été critiqué pour avoir gravement entravé les bloqueurs de publicités.
"Les tendances les plus significatives sont de combler les lacunes de sécurité, d'augmenter la visibilité et le contrôle de l'utilisateur final (par exemple, quels sites autorisent l'exécution des extensions) et d'interdire le code non révisable des extensions", a déclaré Bobrov. « Certains de ces changements sont inclus dans le Manifeste V3 de Google. Cependant, aucun de ces changements ne modifie considérablement les autorisations disponibles pour les extensions. »
COMMENTS