IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Webmarketing Discussion :

Les extensions Chrome collectent de nombreuses informations à caractère privé


Sujet :

Webmarketing

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    6 180
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 6 180
    Points : 149 226
    Points
    149 226
    Par défaut Les extensions Chrome collectent de nombreuses informations à caractère privé
    Les extensions Chrome collectent de nombreuses informations à caractère privé,
    d'après l'auditeur Detectify Labs

    Selon Detectify Labs, un auditeur de sécurité de sites web, les extensions populaires de Google Chrome suivent les utilisateurs par défaut, rendant très difficile la révocation de ces permissions : « ces extensions vont recevoir votre historique de navigation en entier, tous vos cookies, vos tokens secrets utilisés pour vous connecter (par exemple sur Facebook) ainsi que les liens partagés sur des sites comme Dropbox et Google Drive. Les services tiers vont cacher leur activité de pistage par tous les moyens possibles » expliquent les chercheurs.

    Pour rappel, avant d’installer une extension Chrome depuis la vitrine de téléchargement Chrome Web Store, elle vous demande des permissions comme être en mesure d’avoir accès aux pages web que vous visitez actuellement. Une fois installée, l’extension va donc s’exécuter chaque fois que vous visiterez une page sur laquelle elle a la permission de le faire. Les chercheurs notent qu’il arrive très souvent que ces permissions d’accès soient réglées sur <all_urls>, ce qui signifie que ces extensions ont accès à toutes les pages que vous visitez. De plus, ils expliquent que « certaines de ces permissions sont légitimes, elles sont nécessaires au bon fonctionnement de l’extension, mais il arrive souvent que ces extensions embarquent également du script tierce partie qui collecte des informations sur votre trafic internet ».

    Alors que se passe-t-il avec votre historique de navigation qui est suivi ? Les chercheurs avancent que les données de suivi de l’historique de la navigation sont rendues disponibles par le biais de services analytiques auxquels quiconque peut avoir accès en s’inscrivant et en payant une souscription mensuelle pour l’analyser. Cependant, les chercheurs expliquent ne pas très bien savoir ce qu’il advient de certaines données comme vos cookies, « mais il y a des chances qu’ils soient utilisés pour améliorer le profil de l’utilisateur afin de faire des analyses encore plus précises en termes de localisation, âge et intérêts ». Ils confirment également que, grâce à ces services, ils ont été en mesure de confirmer que même les modèles de navigation d’un utilisateur étaient suffisants pour établir une empreinte de l’historique de navigation spécifique de cet utilisateur.

    De plus, pour les personnes faisant appel à des services qui fournissent des liens à partager comme Dropbox ou Google Drive, ces services de suivi « sont en mesure d’obtenir un accès à toutes les informations partagées » : « à de nombreuses reprises, vous partagez des informations qui pourraient être confidentielles, comme un rapport financier, un contrat interne ou un document. Grâce à ces services analytiques, il est possible de trouver les liens vers ces documents et y accéder à votre insu et sans votre consentement ».

    Comment les chercheurs en sont-ils arrivés là ? Ils se sont servis d’un des services qui fournit des informations recueillies par les extensions Chrome et ont été en mesure de confirmer qu’il a :

    • lancé des scripts de suivi dans une instance séparée de celle de l’extension tout en étant en mesure d’avoir accès aux informations de vos onglets. En procédant de cette manière, votre trafic réseau ou votre page web ne divulguera pas que des requêtes sont lancées par un tiers ;
    • utilisé différentes méthodes pour empaqueter les données afin de les rendre difficiles à identifier comme base64(base64(payload)) et btoa(pako.deflate(root.dca_compressor.utf16to8(JSON.stringify(requests)), {to: "string"})) ;
    • certains scripts de suivi utilisent différents sous-domaines pour chaque extension, ce qui rend difficile de voir qu’ils utilisent les mêmes solutions pour pister les utilisateurs et les rend donc plus difficiles à bloquer ;
    • les extensions activent le suivi par défaut, certaines vous donnent une opportunité de le désactiver, mais il est activé au départ ;
    • certains services de suivi utilisent des SDK de script de suivi dans l’extension. Cependant, la première fois qu’il est exécuté, il remplace le code par du JavaScript, le stocke dans le fichier de sauvegarde de l’extension et conserve les références. « Cela permet à l’extension d’exécuter constamment un code arbitraire mis à jour et contrôlé par une tierce partie, code qui n’a pas été inclus dans l’extension au départ » ;
    • ils envoient tout de vous, y compris des relations entre les sites qui ne sont connus que par les utilisateurs eux-mêmes dans la mesure où les pages ne sont liées d’aucune façon. Par exemple, l’utilisateur ouvre un nouvel onglet pour se rendre à monmagnifiquesite.fr (cette information est envoyée), puis il change l’adresse sans avoir à cliquer sur un des liens fournis sur la page qu’il a en face de lui, mais en modifiant directement dans la barre d’adresse et en mettant encoreplusgenial.fr (l’information ‘utilisateur est parti de monmagnifiquesite.fr pour se rendre à encoreplusgenial.fr’ est envoyée), par la suite il visite un lien partagé Dropbox où il y a des photos de famille que seules les personnes qui ont le lien peuvent voir (l’information ‘utilisateur a ouvert un nouvel onglet et voici le lien URL Dropbox complet qui a été partagé’ est envoyée, bien entendu avec le lien qui a été ouvert), l’utilisateur s’authentifie sur un site en se servant de son compte Facebook (l’information ‘utilisateur est allé sur le site X et voici le access_token privé pour accéder au compte Facebook’ est envoyée).


    Mais les extensions acceptent-elles d'utiliser ce code de suivi ? Les chercheurs expliquent que de nombreuses extensions se voient payées par des services tiers pour installer un code de suivi : « nous avons vu quelques indications sur les forums d’extensions Chrome que les montants oscillent autour de 0,04 $ par utilisateur/mois. Pour les plugins avec des dizaines, voire des centaines de milliers d'utilisateurs, cela équivaut à une quantité importante de revenus mensuels ».

    Aussi, les chercheurs conseillent d’abord de désinstaller toutes les extensions dans lesquelles vous n’avez pas confiance ou si vous ne savez pas exactement ce qu’elles font. « Rendez-vous à l’adresse chrome://extensions et appuyez sur le lien Détails de chaque extension que vous voulez conserver et voyez s’il y est fait mention des comportements cités en sus ». La version Pro de Dropbox permet aux utilisateurs de définir une date d’expiration ainsi qu’un mot de passe pour les liens partagés. Les administrateurs Dropbox Business peuvent limiter l’accès à un lien partagé aux membres de leur équipe, mais également avoir accès au journal d’accès du lien et désactiver un lien si une activité suspecte est détectée. De son côté, Google Drive permet aux utilisateurs figurant dans la même entreprise d’avoir accès aux liens partagés, ce qui constitue pour les chercheurs « un pas dans la bonne direction ».

    Source : billet Detectify
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Nouveau Candidat au Club
    Homme Profil pro
    .
    Inscrit en
    mai 2015
    Messages
    589
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Angola

    Informations professionnelles :
    Activité : .

    Informations forums :
    Inscription : mai 2015
    Messages : 589
    Points : 0
    Points
    0
    Par défaut
    Si elles sont 'gratuite' c'est pas pour rien...

  3. #3
    Membre extrêmement actif
    Homme Profil pro
    Consultant Ingenierie mécanique
    Inscrit en
    mars 2006
    Messages
    1 234
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Consultant Ingenierie mécanique
    Secteur : Transports

    Informations forums :
    Inscription : mars 2006
    Messages : 1 234
    Points : 2 809
    Points
    2 809
    Par défaut
    de nos jours une extention ou une appli payante ne te donne pas l'assurance que tes données soient différemment recupérée et utilisée que quand elles sont gratuites..

Discussions similaires

  1. Sécurité contre les script de collecte d'informations
    Par m4riachi dans le forum Langage
    Réponses: 0
    Dernier message: 27/03/2014, 18h10
  2. Chrome.tts : Google sort une API pour faire parler les extensions de Chrome
    Par Hinault Romaric dans le forum Google Chrome
    Réponses: 6
    Dernier message: 19/10/2011, 21h14
  3. Les extensions des polices de caractère
    Par koKoTis dans le forum Autres Logiciels
    Réponses: 2
    Dernier message: 25/08/2006, 14h32
  4. Réponses: 14
    Dernier message: 24/08/2006, 18h12
  5. [10g R2 Windows] Documentation sur les extensions .NET
    Par Laurent Dardenne dans le forum Oracle
    Réponses: 5
    Dernier message: 22/08/2005, 20h27

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo