Les extensions Chrome peuvent voler vos mots de passe !
Faut-il se méfier des extensions Chrome ? Des chercheurs ont découvert qu'elles pouvaient dérober les mots de passe en texte brut grâce aux autorisations accordées par Google lui-même. Mais le géant ne semble pas pressé de réagir…
Si elles sont extrêmement pratiques, les extensions sont aussi une porte d'entrée pour les cybercriminels, étant donné qu'elles ont besoin d'accéder aux données des utilisateurs pour fonctionner. Mais même en faisant attention et en ne les téléchargeant que dans des magasins officiels, le danger rôde, et il n'est pas rare de trouver des extensions vérolées dans le Chrome Web Store. Des chercheurs de l'Université du Wisconsin, à Madison (États-Unis), ont découvert que le système de permissions accordées aux extensions est trop laxiste et permet aux cybercriminels de dérober les identifiants et les mots de passe des internautes en texte brut, directement dans le code source, ce que Google l'autorise malgré lui. Des milliers d'extensions Chrome, disponibles sur la boutique de Google, sont en mesure de voler ces informations confidentielles, alors que de nombreux sites populaires enregistrent les mots de passe de leurs utilisateurs en texte brut, dans le code HTML de leurs pages. Un véritable problème de sécurité informatique…
Extensions Chrome : des informations accessibles en texte brut
L'étude, relayée par Bleeping Computer, révèle que la manière dont fonctionnent les extensions peut permettre à un cybercriminel d'extraire des informations sensibles à partir d'une extension. Pour vérifier leur théorie, les chercheurs en ont développé une fausse sous format d'assistant ChatGPT, qui ne contenait pas de code malveillant. Google l'a donc acceptée puis ajoutée à son store. Elle a bien évidemment été immédiatement retirée par l'équipe afin que personne ne la télécharge.
Mais alors, comment ce leurre pouvait-il dérober les mots de passe des utilisateurs sans avoir recours à un malware ? Les chercheurs ont tout simplement exploité ce qu'on appelle l'arborescence DOM (Document Object Model) des sites Web, une interface de programmation qui permet à des scripts d'examiner et de modifier le contenu du navigateur Web en temps réel. De ce fait, l'extension obtient un accès illimité à toutes les données sensibles – y compris les identifiants et les mots de passe – qu'il contient en parcourant le code HTML.
Google a pourtant mis en place un protocole de sécurité, baptisé Manifest V3, censé réduire les abus aux API, en rendant notamment impossible d'accéder à du code distant. Cependant, il n'introduit pas de frontière de sécurité entre les extensions et les pages Web ; les scripts de contenu restent donc vulnérables.
Extensions Chrome : une faille de sécurité préoccupante
D'après les chercheurs, de très nombreux sites Web, y compris des populaires comme Gmail, Amazon, Facebook et Cloudflare, ont l'imprudence de stocker des mots de passe en texte brut, sans aucun chiffrage, directement dans le code HTML de leurs pages. En effet, ils se sont "attaqués" à quelque 10 000 sites, et il en est ressorti que plus de 1 000 d'entre eux les stockaient effectivement dans leur code source, tandis que 7 300 sites ont été jugés vulnérables à une attaque par extraction des données.
En allant plus loin dans leur pérégrination, les experts se sont rendus compte qu'environ 17 300 extensions Chrome, soit 12,5 % du total de la boutique officielle, peuvent légitimement extraire ces informations sensibles via ces autorisations accordées par Google. 190 de ces extensions exploiteraient d'ailleurs déjà la faille de sécurité. On ne peut donc qu'espérer que le géant de la tech corrige rapidement cette faille préoccupante, mais cela ne semble pas en prendre la direction. Contacté par Bleeping Computer, ce dernier estime qu'il n'y a pas de faille de sécurité dans le fonctionnement des extensions, car ces modules accèdent au code source des sites en ayant obtenu les autorisations nécessaires. Circulez, il n'y a rien à voir !