Discussion :

[Stéphane le calme]

« L'extension de navigateur "Stylish" vole votre historique internet », selon un développeur
qui la voit désormais comme un logiciel espion

Stylish est une extension de navigateur open-source qui peut appliquer une feuille de style à une page web, en plus des Feuilles de Style en Cascade fournie par le site lui-même, pour customiser et personnaliser l'apparence de la page. Elle est disponible pour les navigateurs web basés sur Chromium (Google Chrome, Flock, Opera 15+) et sur Firefox, y compris sur la version Android.

Si l’application est relativement populaire (elle compte presque deux millions d’utilisateurs uniquement sur Chrome), le développeur Robert Heaton met en garde contre cette extension.

« Avant de devenir un outil de surveillance dissimulé déguisé en extension de navigateur exceptionnelle, Stylish était vraiment une extension de navigateur exceptionnelle. Elle a donné à ses utilisateurs rien de moins que le pouvoir de changer l'apparence de l'Internet. Sa vaste banque de skins créés par les utilisateurs donnait un fond sombre aux sites Web lumineux, supprimait les modifications de l'interface utilisateur, et ajoutait des images de manga à tout ce qui n'était pas déjà une image de manga », a-t-il déclaré en guise d’introduction.

Le développeur a reconnu avoir fait usage de l’extension lui-même : « J'ai passé de nombreuses heures merveilleuses dans son simple éditeur de CSS, cachant les parties distrayantes du web tout en étant espionné sans le savoir. Flux d’actualités Facebook - disparu. Flux d’actualités Twitter - disparu. L'historique de navigation personnelle - disparu. Qualité de vie et ennui inexpliqué - haut et bas respectivement ».

L'extension serait devenu un logiciel espion déguisé

Robert assure que depuis janvier 2017, Stylish a embarqué des fonctionnalités supplémentaires qui enregistrent tous les sites Web que sa grande base d’utilisateurs visitent.

« Stylish renvoie notre activité de navigation complète à ses serveurs, avec un identifiant unique. Cela permet à son nouveau propriétaire, SimilarWeb, de connecter toutes les actions d'un individu dans un seul profil. Et pour les utilisateurs comme moi qui ont créé un compte Stylish sur userstyles.org, cet identifiant unique peut facilement être lié à un cookie de connexion. Cela signifie que non seulement SimilarWeb possède une copie de nos historiques de navigation complets, mais possède également suffisamment d'autres données pour lier théoriquement ces historiques aux adresses e-mail et aux identités réelles », a-t-il affirmé.

Selon le développeur, cette direction a été prise après que le propriétaire et créateur original de Stylish l'a vendu en août 2016. En janvier 2017, le nouveau propriétaire l'a revendue en annonçant que « Stylish fait désormais partie de la famille SimilarWeb ». En parcourant la description promotionnelle de la famille de SimilarWeb, le développeur est tombé sur « des solutions de marché pour voir tout le trafic de vos concurrents » parmi ses intérêts déclarés.

En quoi est-ce dangereux ?

La politique de confidentialité de SimilarWeb indique qu'ils ne collectent que des données « non personnelles », une déclaration que le développeur suppose être techniquement vrai. Cependant, il rappelle que des incidents peuvent arriver :

« Lorsque vous confiez involontairement vos données personnelles à une entreprise comme SimilarWeb, non seulement vous devez espérer qu'ils n'ont pas d'intentions malveillantes (en plus de celles listées sur leur page de tarification), mais en plus vous devez espérer qu'ils ont de bons contrôles d'accès aux données, c’est à dire qu’ils n’aient aucun employé malveillant et dispose d’une sécurité assez forte pour empêcher le vol de toutes leurs données (qui étaient auparavant les vôtres). Pire encore, même la mise en cache d'une liste d'URL nominalement anonymisée a d'importantes implications en termes de confidentialité et de sécurité. La désanonymisation à l'aide d'adresses IP et les spécificités de l'historique de navigation d'un utilisateur sont souvent simples. Qui pensez-vous que cette personne visitant https://www.linkedin.com/in/robertjheaton/edit pourrait être ?

« Les URL uniques sans contexte supplémentaire peuvent également être très sensibles. Par exemple, certains sites Web utilisent des URL contenant des jetons d'authentification spéciaux pour connecter automatiquement leurs utilisateurs lorsqu'ils cliquent sur un lien dans un e-mail. Lorsqu'un utilisateur clique sur un lien tel que mysocialnetwork.com/inbox?login_token=fsdj80d ... etc ..., le site utilise le long login secret de l'URL comme mot de passe alternatif et connecte l'utilisateur à son compte. C'est une pratique risquée mais parfois défendable qui repose sur des jetons de connexion qui restent secrets et inaccessibles. Cependant, comme ils font partie de l'URL, Stylish les enregistre et les envoie aux serveurs SimilarWeb. Leurs bases de données contiennent vraisemblablement des identifiants de connexion secondaires pour les comptes d'utilisateurs sur un nombre quelconque d'autres services.

« Les URL sensibles peuvent également intervenir ailleurs. Mon fournisseur de soins médicaux en ligne me montre mes documents médicaux en utilisant des URL secrètes de 1000 caractères (générées par Amazon S3) qui expirent après une minute environ. Pour ces pages, aucune authentification de connexion au-delà de la simple connaissance de l'URL n'est requise. Toute personne ayant deviné le jeton d'authentification dans l'URL avant son expiration pourrait voir et télécharger mes documents médicaux. À mon avis, ce n'est pas la meilleure pratique de l'équipe d'ingénierie de mon fournisseur de soins médicaux en ligne. Mais le monde réel est plein de choses qui ne sont pas de bonnes pratiques, et aucun attaquant conventionnel ne sera en mesure de deviner une URL de 1000 caractères en une minute. Stylish leur facilite la vie en récoltant le tout et en l'enregistrant dans leur base de données. Maintenant, cette entreprise de publicité stupide possède également des indications sur mes dossiers médicaux. J'espère vraiment qu'ils ne seront jamais piratés.

« Le plus souvent, de nombreux sites utilisent des jetons d'URL pour permettre aux utilisateurs de réinitialiser un mot de passe oublié. Quand un utilisateur clique sur le bouton "Mot de passe oublié?", Le site web lui envoie un email contenant un lien spécial. Ce lien pointe vers une URL longue qui ressemble à quelque chose comme mysocialnetwork.com/password-reset?reset_token=a3dJ3 ... etc .... Lorsque l'utilisateur clique dessus, le site lit le reset_token, recherche l'utilisateur correspondant, et lui permet de réinitialiser son mot de passe en toute sécurité. Cependant, si un attaquant était capable d'intercepter ces URL et de terminer le processus de réinitialisation de mot de passe avant l'utilisateur réel, il aurait un contrôle total sur le compte. Une fois de plus, Stylish remonte ces URL de réinitialisation de mot de passe, prenant en charge la confidentialité et la sécurité de ses utilisateurs ».

Source : billet du développeur

Et vous ?

Utilisez-vous Stylish ? Qu'en pensez-vous ?
Partagez-vous le point de vue de Robert, qui estime que cette extension est devenue un logiciel espion, ou avez vous une opinion plus modérée ?
Quelles alternatives pourraient-être, selon-vous, plus intéressantes ?

Voir aussi :

Red Shell : les développeurs de jeux suppriment cet outil d'analyse marketing assimilé à un spyware par la communauté des joueurs
Google met un terme à l'installation des extensions Chrome à partir de sites web autres que sa boutique d'applications en ligne
Des chercheurs de Kaspersky découvrent de façon fortuite le spyware ultrasophistiqué Slingshot, qui a réussi à échapper à toute détection depuis 2012
Microsoft améliore les capacités défensives de Windows Defender et Office 365 avec des techniques de détection du spyware gouvernemental FinFisher
HP : accusée d'avoir déployé un spyware dans une récente mise à jour sur Windows 10 à l'insu des utilisateurs, l'entreprise s'explique

[Doksuri]

je ne connaissais meme pas cette extension.

les devs honnetes se font de plus en plus rares...

faut pas se leurrer, c'est pareil pour tout. (meme les OS)
sans rien faire, en ecoutant le reseau, il y a tellement de data qui transfere....

avant, on lancait le soft, puis on le coupait, point.
maintenant, on coupe l'appli, ca continue de vivre en background pour avoir toujours des infos fraiches...

a vouloir toujours etre connecte...

[onilink_]

C'est fou ça, a chaque fois qu'un truc fonctionne bien y a anguille sous roche.
Je vais devoir trouver une alternative, c'est un des rares trucs efficaces que j'avais trouvé pour naviguer sur un web "sombre" pour pas fatiguer mes yeux (y a même un thème pour developpez.net).

Edit:
Cet envoie de données s'applique-t-il quand on a désactivé cette option? (coché par défaut)



https://userstyles.org/login/policy

OPT OUT RIGHT

You may opt out of the automatic collection and sharing of Non-Personal Information described above as follows:

For the Stylish browser extension:

Right click on the extension icon, select 'Options', and uncheck the box that says "Send anonymous data to Stylish developers". Note that once you opt out, part of the Services provided by the Stylish browser extension will no longer be available, meaning 1) install count won't be saved; and 2) "Suggested Web Styles" won't be available in the browser extension interface.

Edit2:
Bon, viré et je teste stylus, qui se veut un équivalent sans vol d'url. On verra ce que ça donne, mais déjà les thèmes ont pas l'air de courir les rues pour le moment.

Edit3:
Ah ben en fait c'est carrément compatible avec les styles stylish. Nickel.

[Anselme45]

Edit2:
Bon, viré et je teste stylus, qui se veut un équivalent sans vol d'url. On verra ce que ça donne, mais déjà les thèmes ont pas l'air de courir les rues pour le moment.

Edit3:
Ah ben en fait c'est carrément compatible avec les styles stylish. Nickel.

A en profiter jusqu'à la prochaine news qui annoncera que ta solution a les même pratique que stylish...

[Xinsura]

@onilink_ il me semble qu'il est même possible d'ajouter du code CSS dirrectement dans le fichier userChrome.css de Firefox, pour chaque page web. Et tout ceci, sans passer par une extension. J'en utilise un pour une application web au boulot, qui a un frontend pas très ergonomique.

[onilink_]

@Xinsura
Il faudra que je regarde ça, cela serait très intéressant vu que j'utilise des styles que sur une 10 aine de sites a tout casser.

A en profiter jusqu'à la prochaine news qui annoncera que ta solution a les même pratique que stylish...

Oui bon A ce compte la on utilise plus rien Enfin j'espère qu'il retournera pas sa veste oui, surtout qu'a part ne plus utiliser un outil y a pas vraiment de moyen pour faire pression a ce genre de pratique.

[Patrick Ruiz]

Google et Mozilla éjectent l’extension Stylish des stores de leurs navigateurs
Après les révélations concernant ses fonctionnalités de spyware

Les internautes qui se sont lancés à la recherche d’outils leur permettant de changer l’apparence d’Internet ont certainement entendu parler de Stylish. Il s’agit d’une extension de navigateur open-source qui peut appliquer une feuille de style à une page web, en plus de celles dites en cascade fournies par le site lui-même, pour la personnaliser en apparence. L’additif disponible pour les navigateurs Google Chrome et Firefox a été éjecté des stores respectifs de ces navigateurs il y a peu.

« Nous avons décidé de bloquer l’extension en raison de la violation de certaines prescriptions au sein de notre politique de gestion des données », écrit Andreas Wagner de Mozilla. Chez Google, pas d’explication, mais la mort du lien, qui menait vers la page de téléchargement du plug-in en dit long.

Une modification d'apparence réalisée avec Stylish

Chez Mozilla, l’éjection de l’extension fait suite à une requête formulée par un utilisateur sur la liste de diffusion de bogues du navigateur open source. La demande s’appuyait sur le billet de blog détaillé de Robert Heaton à propos de l’additif. Dans sa publication, le développeur revient sur la spirale descendante du plug-in qui a débuté en août 2016 avec le rachat par un autre développeur, qui a ensuite revendu l’appli à Similarweb – une firme spécialisée en analytique du web. L’identité de l’acheteur suscitait déjà des craintes quant à l’avenir de l’extension et la journée de lundi est venue les confirmer. C’est en effet ce jour que Robert Heaton a publié des captures d’écran illustrant comment l’extension collectait l’historique de navigation des utilisateurs et l’envoyait sur les serveurs de Similarweb.

En 2016, juste après la finalisation de la première vente de l’extension, Justin Hindman – le nouveau propriétaire – a annoncé son intention de s’associer à Similarweb pour le partage de données anonymisées. La décision a soulevé un vent de panique au sein des utilisateurs et a bien évidemment fait l’objet de nombreuses critiques. Stylish n’en est donc pas à son premier scandale et il semble bien que ce soit l’estocade finale avec l’éviction des plateformes des principaux navigateurs.

Quelles alternatives alors ? Les habitués à Stylish ne devraient pas être très dépaysés avec Stylus. Il s’agit d’un projet porté par la communauté de l’open source – un fork de Stylish. Il a pris corps lorsque les rumeurs du rachat de l’extension par Similarweb ont fait surface en janvier 2017.

Source : Mozilla

Et vous ?

Faites-vous encore usage de Stylish ? Quel retour pouvez vous en faire ?

Quelles autres alternatives fiables pouvez-vous conseiller ?

Voir aussi :

Red Shell : les développeurs de jeux suppriment cet outil d'analyse marketing assimilé à un spyware par la communauté des joueurs
Google met un terme à l'installation des extensions Chrome à partir de sites web autres que sa boutique d'applications en ligne
Des chercheurs de Kaspersky découvrent de façon fortuite le spyware ultrasophistiqué Slingshot, qui a réussi à échapper à toute détection depuis 2012
Microsoft améliore les capacités défensives de Windows Defender et Office 365 avec des techniques de détection du spyware gouvernemental FinFisher
HP : accusée d'avoir déployé un spyware dans une récente mise à jour sur Windows 10 à l'insu des utilisateurs, l'entreprise s'explique

[4sStylZ]

Stylus est open source, j’ai migré vers lui et il permet d’exploiter les feuilles de styles hebérgées sur le même site web (dont les miennes) donc c’est parfait comme ça.