Menu
Donnez votre avis

85 % des extensions Chrome peuvent exploiter des données personnelles

Félix Marciano - mardi 26 février 2019 - 14:51
85 % des extensions Chrome peuvent exploiter des données personnelles
Une étude montre que la grande majorité des extensions pour le navigateur de Google n'ont aucune politique de confidentialité.

Pour pratiques qu'elles soient au quotidien, la plupart des extensions pour Chrome sont indiscrètes et même potentiellement dangereuses. C'est l'inquiétant résultat d'une étude menée récemment par Duo Security, une filiale de Cisco spécialisée dans les problématiques de sécurité numérique, qui a utilisé un service Web spécifiquement développé pour l'occasion, CRXcavator.

De fait, sur les quelque 120000 extensions passées au crible par Duo Security, 85 % ne posséderaient aucune politique de confidentialité des données personnelles. El clair, elles ne s'engagent sur rien, et donc ne sont contraintes à rien dans ce domaine. Mieux encore, elles annoncent très souvent la couleur lors de leur installation, en demandant des permissions d'accès à des informations qui n'ont souvent absolument rien à voir à leur fonction première. Le pire, c'est que la plupart des utilisateurs accordent ces autorisations sans même y prêter attention, par manque de temps ou d'information. Conséquence : les éditeurs d'extensions peuvent exploiter ces données privées en toute impunité, avec le consentement des utilisateurs...

En pratique, et toujours selon les tests menés par Duo Security, 35 % des extensions examinées peuvent ainsi récolter des données provenant de tous les sites visités par l'utilisateur. 32 % utilisent des bibliothèques tierces présentant des vulnérabilités et des failles de sécurité. 77 % des extensions ne proposent aucune forme d'assistance – pourquoi s'embêter à aider des utilisateurs quand on a déjà tous les droits ? Et 9 % peuvent lire des cookies, y compris ceux utilisés par ses systèmes d'authentification... Au-delà de l'exploitation qui peut être faite des données récupérées, notamment celles provenant de la visite de sites, certaines extensions présentent des risques d'infection par des logiciels malveillants qui passeraient par des bibliothèques défaillantes ou corrompues.

L'étude pointe la politique laxiste de Google en matière des autorisations demandées par les extensions. Consciente du problème, la firme de Mountain View s'est attelé à ce gigantesque chantier en commençant par sécuriser sa plateforme d'applications tierces pour Chrome. Désormais, pour réduire les risques de piratages via des installations manuelles, les extensions ne peuvent plus être installées que depuis le Web Store officiel de Google. Un premier pas, en attendant la mise en place d'un système plus rigoureux de filtrage des permissions. Pour l'heure, Duo Security conseille de toujours examiner attentivement les autorisations réclamées par les extensions lors de leur installation. Et de faire un tour sur le site de CRXcavator qui donne tous les résultats de ses tests, avec un taux de risque.



Illustration : © Shutterstock - Duo Security
Ajouter un commentaire

Commentaires

Commenter la réponse de Utilisateur anonyme