IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Google Chrome Discussion :

35 % des extensions Chrome accèdent aux données des utilisateurs sur n'importe quel site


Sujet :

Google Chrome

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Étudiant
    Inscrit en
    Novembre 2013
    Messages
    378
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2013
    Messages : 378
    Points : 10 421
    Points
    10 421
    Par défaut 35 % des extensions Chrome accèdent aux données des utilisateurs sur n'importe quel site
    35 % des extensions Chrome accèdent aux données des utilisateurs sur n'importe quel site
    d'après une étude du laboratoire Duo Labs

    Le géant de la technologie Google a encore fait parler de lui au travers de son célèbre navigateur Chrome qui est actuellement le navigateur le plus utilisé au monde. Il semblerait qu'environ 35 % des extensions du navigateur Chrome soient en mesure d'accéder aux données des utilisateurs sur n'importe quel site visité par ce dernier. C'est ce qu'a révélé une étude réalisée le mois dernier par l'équipe de recherche de la société américaine de cybersécurité Duo Labs.

    Pour mener à bien cette étude, les chercheurs ont examiné plus de 120000 extensions Google Chrome et ont pu se rendre compte non seulement que plus d’un tiers de ces extensions accédaient aux données des utilisateurs sur n’importe quel site web, mais aussi que cela se faisait avec le consentement des utilisateurs. Ils parlent de consentement des utilisateurs, mais en réalité, il faut savoir que lors de l'installation d'une extension, celle-ci demande parfois aux utilisateurs d'approuver certaines autorisations et très souvent, ces derniers les leur accordent sans vraiment prêter attention.

    Ces chiffres auraient pu ne pas être inquiétants, mais lorsque le même sondage révèle également que près de 85 % des 120000 extensions analysées n’ont pas de politique dédiée à la confidentialité des données, là il y a de quoi céder à la panique. Donc en gros, cela signifie que ces extensions n’ont pas de document juridiquement contraignant qui décrit comment les personnes qui les ont développées s’engagent à gérer les données des utilisateurs qu'ils ont en leur possession.

    Nom : Capture1.png
Affichages : 12532
Taille : 112,7 Ko

    Les chercheurs ont notamment examiné les permissions demandées par les extensions aux utilisateurs, les domaines externes avec lesquels elles communiquaient, si les extensions utilisaient des bibliothèques vulnérables et si elles accédaient aux données OAuth2. Parmi les autres résultats de l'enquête, citons le fait que 77 % des extensions Chrome testées n'indiquaient pas de site de support, 32 % utilisaient des bibliothèques JavaScript tierces contenant des vulnérabilités connues du public et 9 % pouvaient accéder aux cookies, dont certains sont utilisés pour des opérations d'authentification. Ce travail a pu être réalisé avec l'aide d'une extension développée par ces chercheurs et appelé CRXcavator Gatherer.

    Elle a été développée pour une utilisation en entreprise et les administrateurs système peuvent l'installer sur les ordinateurs des employés de l'entreprise. L'extension recueillera des informations sur ce que les employés ont chacun installé sur leurs ordinateurs, puis envoie ces données à un compte CRXcavator créé préalablement par les administrateurs système sur le portail de l'extension. En se rendant sur leur compte CRXcavator, les administrateurs ont la possibilité de consulter le score de risque CRXcavator de chaque extension installée par les utilisateurs sur leurs systèmes et à partir de ce moment peuvent décider d'autoriser ou d'interdire l'extension au sein de leurs réseaux.

    Le navigateur web étant l'outil principal que nous utilisons pour accéder à internet et en prenant en compte le fait qu'ils représentent ce qui est probablement la plus grande surface d'attaque commune parmi les consommateurs et les entreprises, il est donc très important de garder un œil sur les extensions qu'on utilise, pour prévenir toute attaque.

    Source : Duo Labs

    Et vous ?

    Qu'en pensez-vous ?
    Prêtez-vous toujours attention aux autorisations que vous accordez aux extensions lors de leurs installations ?

    Voir aussi :

    Mozilla supprime 23 extensions Firefox qui ont siphonné les données de plus de 500 000 utilisateurs de façon malicieuse
    Comment LinkedIn détecte les extensions installées sur votre navigateur, une découverte de Dan Andrews, développeur web chez Techstars
    Google supprime quatre extensions Chrome qui ont été téléchargées plus de 500 000 fois impliquées dans une campagne de fraude aux clics
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre expert
    Profil pro
    programmeur du dimanche
    Inscrit en
    Novembre 2003
    Messages
    777
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : programmeur du dimanche
    Secteur : Santé

    Informations forums :
    Inscription : Novembre 2003
    Messages : 777
    Points : 3 339
    Points
    3 339
    Par défaut
    C'est assez logique en fait. Les extensions sont largement gratuites et tout le monde ne bosse pas pour rien... Et ceux qui bossent pour rien n'ont pas les moyens de garantir que leur extension prend en temps réel tous les patchs de sécurité..

    Partant de là, sous Firefox ça doit être pareil ou pire (vu leurs ressources plus limitées). Idéalement, il faudrait un système d'activation à la demande des extension avec une isolation par page dans le mécanisme de base (autant dire que ce n'est pas prêt d'arriver).

    En attendant, faut peut être éviter d'avoir 50 extensions douteuses activées pour rien (c'est assez simple sous firefox d'activer à la demande).

  3. #3
    Expert confirmé
    Avatar de Doksuri
    Profil pro
    Développeur Web
    Inscrit en
    Juin 2006
    Messages
    2 450
    Détails du profil
    Informations personnelles :
    Âge : 54
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Juin 2006
    Messages : 2 450
    Points : 4 600
    Points
    4 600
    Par défaut
    il y a 2 points que j'aimerai souligner :
    1) n'imorte qui peut faire une extension : tu sais faire du html => bim tu peux en faire une (elle ne fera pas grand choses, certes... mais bon)
    partant de ce principe, a mon avis, la plupart des extensions son faites par vous et moi, de maniere amatrice..., donc personne pour dire "attention, il faut crypter les donnes que tu utilises, blabla"...

    2) en quoi c'est different des appli mobiles ???
    ca fait des annees que ca dure, et a mon avis, il y a plus de monde ont un smartphone que chrome sur desktop...
    pourquoi une appli lampe torche a besoin d'acceder a ta liste de contacts, historiques d'appels, stockage, etc....

    ils font tout ce qu'ils peuvent pour informer les utilisateurs... s'ils ne veulent 1)pas lire les autorisations et 2)se poser des questions.. on ne peut rien faire de plus...
    La forme des pyramides prouve que l'Homme a toujours tendance a en faire de moins en moins.

    Venez discuter sur le Chat de Développez !

  4. #4
    Membre du Club
    Inscrit en
    Septembre 2012
    Messages
    37
    Détails du profil
    Informations forums :
    Inscription : Septembre 2012
    Messages : 37
    Points : 64
    Points
    64
    Par défaut Confidentialité??
    Êtes-vous sûr que la politique dédiée à la confidentialité est manquantes? C’est étonnant car Google nous bassine et sont assez sévère en ce qui concerne la politique de confidentialité quand par exemple on monte une application sur Google play , tout comme sont confrère Apple store d’ailleurs. Par contre en quoi pouvons-nous être étonné de se genre de démarches ? Facebook ne se gêne pas non plus mais bon , lui il la dit ouvertement , d’accord après que les juges le lui ont reproché .

Discussions similaires

  1. Réponses: 9
    Dernier message: 07/06/2018, 12h09
  2. Réponses: 1
    Dernier message: 05/04/2018, 13h06
  3. Listez toutes les extensions connues de votre PC
    Par DelphiCool dans le forum Codes sources à télécharger
    Réponses: 0
    Dernier message: 13/02/2013, 21h40
  4. MAJ Firefox : blocage de toutes les extensions
    Par eric41 dans le forum Firefox
    Réponses: 0
    Dernier message: 07/02/2013, 12h29
  5. Réponses: 4
    Dernier message: 03/05/2006, 15h30

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo