Clé à emporter
- La majorité des extensions du Chrome Web Store nécessitent des autorisations dangereuses qui peuvent être utilisées à des fins malveillantes.
- Tous les navigateurs Web tentent de résoudre le problème des extensions capricieuses.
- Google's Manifest V3 est l'une de ces solutions qui résout certains problèmes, mais ne fait pas grand-chose pour contrôler les autorisations disponibles pour les extensions.
Vous souvenez-vous de cette extension de navigateur correcteur orthographique qui demandait des autorisations pour lire et analyser tout ce que vous tapez ? Les experts en cybersécurité avertissent qu'il y a de fortes chances que certaines extensions abusent de votre consentement pour voler les mots de passe que vous entrez dans le navigateur Web.
Pour aider les utilisateurs à apprécier les dangers des extensions Web, la société de sécurité numérique Talon a analysé le Chrome Web Store pour signaler que des dizaines de milliers d'extensions ont accès à des autorisations inquiétantes, telles que la possibilité de modifier les données sur tous les sites visités, télécharger des fichiers, accéder à l'activité de téléchargement, et bien plus encore.
"De nombreuses extensions populaires mettent les utilisateurs en danger", a expliqué Ohad Bobrov, co-fondateur et CTO de Talon Cyber Security, à Lifewire par e-mail. "[Even] les extensions bénignes peuvent avoir des vulnérabilités dans leur code ou leur chaîne d'approvisionnement, et peuvent être susceptibles d'être prises en charge par des acteurs malveillants."
Extensions capricieuses
Talon soutient que les extensions offrent une grande valeur à leurs utilisateurs et apportent une multitude de fonctionnalités utiles aux navigateurs Web telles que le blocage des publicités, la vérification orthographique, la gestion des mots de passe, etc. Cependant, pour apporter ces fonctionnalités, les extensions nécessitent des autorisations larges pour modifier le navigateur, son comportement et les sites Web visités.
"Naturellement, ce niveau de contrôle et d'accès par des acteurs tiers peut constituer une menace importante pour la sécurité et la confidentialité des utilisateurs", a expliqué Talon.
La société ajoute que malgré le processus de vérification de Google, de nombreuses extensions malveillantes parviennent à passer à travers les lacunes et finissent par avoir un impact négatif sur des millions d'utilisateurs. Son analyse a révélé que plus de 60 % de toutes les extensions du Chrome Web Store sont autorisées à lire ou à modifier les données et l'activité des utilisateurs.
Par exemple, Talon dit que les vérificateurs d'orthographe et de grammaire demandent l'autorisation d'injecter des scripts qui s'exécutent à partir du contexte de la page Web pour analyser le texte de l'utilisateur. Ils le font généralement en inspectant les champs de saisie ou en enregistrant les frappes de l'utilisateur par d'autres moyens. La société affirme que cela permet effectivement aux extensions de collecter et d'exfiltrer toutes les informations sur la page Web, y compris les mots de passe et autres données sensibles.
Ensuite, il y a le blocage des publicités, qui constitue certaines des meilleures extensions du Chrome Web Store. Cette fonctionnalité implique la suppression d'éléments de la page et nécessite les mêmes autorisations que les correcteurs orthographiques.
On ne sait pas quelles données ont été exfiltrées, mais elles pourraient potentiellement avoir volé n'importe quoi sur n'importe quelle page, y compris les mots de passe.
De même, les autorisations accordées au partage d'écran et aux extensions de vidéoconférence pour effectuer leur tâche prévue peuvent également être utilisées à mauvais escient pour capturer l'écran et l'audio de l'utilisateur.
"Deux vulnérabilités ont été découvertes dans uBlock Origin au cours des derniers mois, ce qui a permis aux attaquants d'exploiter l'autorisation de l'extension pour lire et modifier les données sur tous les sites et pour voler des informations sensibles sur les utilisateurs", nous a expliqué Bobrov.
"Les bloqueurs de publicités comme uBlock Origin sont extrêmement populaires et ont généralement accès à toutes les pages qu'un utilisateur visite. Dans les coulisses, ils sont alimentés par des listes de filtres fournies par la communauté - des sélecteurs CSS qui dictent les éléments à bloquer. Ces les listes ne sont pas entièrement fiables, elles sont donc contraintes d'empêcher les règles malveillantes de voler les données des utilisateurs ", a écrit le chercheur en sécurité Gareth Heyes comme il l'a démontré en utilisant les vulnérabilités de l'extension pour voler les mots de passe.
Bobrov a également partagé qu'en 2019, la populaire extension The Great Suspender, qui comptait plus de deux millions d'utilisateurs, a été achetée par un acteur malveillant, qui a ensuite exploité ses autorisations pour injecter des scripts afin d'exécuter du code non révisé et hébergé à distance. dans les pages Web.
"On ne sait pas quelles données ont été exfiltrées", a-t-il dit, "mais cela aurait pu potentiellement voler n'importe quoi sur n'importe quelle page, y compris des mots de passe."
Pas de vraie solution
Bobrov affirme que Chrome et pratiquement tous les autres principaux navigateurs Web s'efforcent de contenir le risque de sécurité posé par les extensions, non seulement en améliorant leur processus de vérification, mais également en limitant certaines des capacités des extensions.
L'une de ces étapes récentes soulignées par Bobrov est le Manifest V3 de Google. Il dit que pour l'utilisateur moyen, la différence la plus notable que Manifest V3 apporterait aux extensions est une interdiction complète du code hébergé à distance et un changement dans la façon dont les extensions modifient les requêtes Web. Cependant, il ajoute qu'en revanche, Manifest V3 a été critiqué pour avoir gravement gêné les bloqueurs de publicités.
"Les tendances les plus importantes sont la réduction des failles de sécurité, l'augmentation de la visibilité et du contrôle de l'utilisateur final (par exemple, quels sites autorisent l'exécution des extensions) et l'interdiction du code non révisable des extensions", a déclaré Bobrov. "Certaines de ces modifications sont incluses dans Manifest V3 de Google. Cependant, aucune de ces modifications ne modifie radicalement les autorisations disponibles pour les extensions."