La sécurité est un enjeu majeur sur l’Internet car nos données personnelles sont exposées quotidiennement à des tentatives de vols. Chrome, le premier navigateur Web au monde est, par sa position, sujet à de nombreuses tentatives d’intrusions, de fraude ou de hacking. Google travaille sur le sujet en proposant de sécuriser les extensions ou encore en supprimant de nombreuses extensions malveillantes. Malgré tout, une étude vient de démontrer que quatre-vingt-cinq pour cent de toutes les extensions de Chrome n’ont pas de politique de confidentialité.

Un tiers de toutes les extensions de Google Chrome demande aux utilisateurs la permission d’accéder à toutes leurs données et les lire sur n’importe quel site Web, a révélé un sondage récent portant sur plus de 120 000 extensions de Chrome.

85% des extensions Chrome n’ont pas de règle de confidentialité

La même enquête a également révélé que près de 85% des 120 000 extensions Chrome répertoriées dans le Chrome Web Store ne comportaient pas de règle de confidentialité. Par conséquent, aucun document juridiquement contraignant ne décrit pas comment les développeurs d’extensions s’engagent à gérer les données des utilisateurs.

Les résultats du sondage incluent le fait que 77% des extensions Chrome testées ne répertorient pas de site de support, 32% ont utilisé des bibliothèques JavaScript tierces contenant des vulnérabilités connues du public et 9% ont pu accéder à des fichiers de cookies et les lire, dont certains sont utilisés pour les opérations d’authentification.

Cette enquête gigantesque a été réalisée le mois dernier par l’équipe de recherche de la société américaine de cyber-sécurité Duo Labs, à l’aide d’un nouveau service Web mis au point et appelé CRXcavator.

Les chercheurs ont analysé l’intégralité du Chrome Web Store, le code source et les listes Web Store de 120 463 extensions et applications Chrome.

Ils ont examiné quelles autorisations les extensions demandaient aux utilisateurs, avec quels domaines externes elles communiquaient, si celles-ci utilisaient des bibliothèques vulnérables, accédaient à des données OAuth2, vérifiaient les en-têtes de stratégie de sécurité du contenu (CSP) et si l’extension indiquait des informations relatives à sa politique de confidentialité ou auteur.

CRXcavator donne le score risque d’une extension Chrome

Les résultats de cette étude sont disponibles aujourd’hui sur le portail Web de CRXcavator , où les utilisateurs peuvent consulter les rapports de sécurité sur leurs extensions préférées ou soumettre un ID d’extension et le faire analyser si les chercheurs de Duo l’ont oublié lors de l’analyse de leur magasin Web.

Mais Duo Labs n’a pas analysé toutes les extensions de Chrome sans aucune utilité. La société a également publié aujourd’hui l’ extension CRXcavator Gatherer Chrome .

Cette extension a été développée pour une utilisation en entreprise. Les administrateurs système peuvent installer l’extension sur les PC des employés de l’entreprise. Elle recueillera des informations sur ce que les employés d’Extinsins ont chacun installé sur leurs systèmes, puis envoyer ces données à un compte CRXcavator créé préalablement par les administrateurs système sur le portail CRXcavator.

Les administrateurs système peuvent consulter le score de risque CRXcavator de chaque extension installée par les utilisateurs sur leurs systèmes et autoriser ou interdire celle-ci au sein de leurs réseaux avec des stratégies à l’échelle du réseau.

« Cela permet aux organisations de savoir exactement quelles extensions sont utilisées, qui les utilise et quel risque les extensions de leurs utilisateurs représente pour l’entreprise« 

ont déclaré des chercheurs de Duo Labs dans un communiqué de presse.

Mais l’extension CRXcavator Gatherer peut également être utilisée pour permettre aux employés de demander une autorisation avant d’installer une nouvelle extension Chrome. Tout ce que les employés ont à faire est d’appuyer sur un bouton et saisir une raison pour laquelle ils ont besoin d’en installer une nouvelle.

Les administrateurs système reçoivent cette demande d’installation dans le tableau de bord de leur compte CRXcavator, peuvent vérifier le score de risque CRXcavator de l’extension et autoriser son installation dans leur réseau.

La nécessité de contrôler les extensions utilisées par les employés est un facteur croissant pour les entreprises modernes. Avec une part de marché de plus de 60%, Chrome est une énorme surface d’attaque que les groupes criminels ont tendance à exploiter.

On sait qu’ils achètent des extensions à des développeurs qui ne s’intéressent plus à leur maintenance et lancent des attaques de type hameçonnage dans l’espoir de détourner le compte d’un développeur d’extensions afin de lui permettre de diffuser du code malveillant.

Les entreprises, qu’elles soient petites ou grandes, doivent à présent garder un œil sur les extensions de Chrome, car il y a toujours le danger d’en utiliser une pour l’espionnage industriel ou la fraude

Encore une fois, je ne peux que vous conseiller que de supprimer toutes les extensions que vous n’utilisez pas sur votre Chromebook ou Chrome pour éviter toute tentative de vols de données. Faites vous régulièrement le ménage dans vos extensions ? Donnez-moi votre avis, posez-moi vos questions dans la suite de cet article ) travers vos commentaires.

Source: Znet

Tags:
Shares:

2 Comments

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.