Révélation Choc : Comment les extensions Chrome peuvent-elles voler vos mots de passe en clair ?

1. Extensions Chrome : Des chercheurs ont démontré qu’une extension Chrome peut extraire des mots de passe en clair du code source des sites web.
2. Problème de Sécurité : Les extensions ont un accès illimité à l’arbre DOM des sites, permettant l’extraction de données sensibles sans barrière de sécurité.
3. Protocole Manifest V3 : Bien que ce protocole limite certains abus, il ne résout pas le problème principal de la frontière de sécurité entre les extensions et les pages web.
4. Risques potentiels : De nombreux sites web, dont Gmail et Amazon, présentent des vulnérabilités. De plus, certaines extensions pourraient déjà exploiter cette lacune de sécurité.

La sécurité en ligne est devenue une préoccupation majeure pour les utilisateurs du monde entier. Récemment, une révélation choquante a émergé concernant la capacité des extensions Chrome à accéder aux mots de passe en clair sur les sites web. Comment cela est-il possible et quelles mesures peuvent être prises pour protéger les informations sensibles ? Plongeons-nous dans cette enquête.

Une découverte inquiétante de l’Université du Wisconsin-Madison

Une équipe de chercheurs de l’Université du Wisconsin-Madison a mis en lumière une faille préoccupante dans le système d’extensions Chrome. Ils ont réussi à télécharger sur le Chrome Web Store une extension expérimentale capable d’extraire les mots de passeen clair directement depuis le code source des sites web.

✅ Comment fonctionne cette vulnérabilité ?

L’examen des champs de saisie texte dans les navigateurs a révélé que le modèle de permission grossier sur lequel reposent les extensions Chrome viole les principes de moindre privilège et de médiation complète. Ces principes sont essentiels pour assurer une sécurité robuste dans tout système informatique.

De plus, il a été constaté que de nombreux sites web, y compris des portails populaires tels que Google et Cloudflare, stockent les mots de passe en clair dans le code source HTML de leurs pages. Cela permet aux extensions malveillantes d’y accéder et de les récupérer.

✅ Le cœur du problème : l’accès non restreint au DOM

La racine de ce problème réside dans la pratique systémique accordant aux extensions de navigateur un accès non restreint à l’arbre DOM des sites qu’elles chargent. Cela leur permet d’accéder à des éléments potentiellement sensibles, tels que les champs de saisie des utilisateurs.

En l’absence de toute limite de sécurité entre l’extension et les éléments d’un site, une extension peut accéder librement aux données visibles dans le code source et extraire n’importe lequel de ses contenus.

✅ Le protocole Manifest V3 suffit-il à garantir la sécurité ?

Google Chrome a introduit le protocole Manifest V3, adopté par la majorité des navigateurs cette année. Si ce protocole limite l’abus des API, interdit aux extensions de récupérer du code hébergé à distance et empêche l’utilisation de déclarations eval, il ne parvient pas à établir une frontière de sécurité entre les extensions et les pages web.

Les conséquences potentielles de cette vulnérabilité

Les mesures ultérieures ont montré que parmi les 10 000 sites les plus populaires, environ 1 100 stockent les mots de passe des utilisateurs en clair dans le DOM HTML. De plus, 7 300 autres sites de ce même ensemble sont vulnérables à l’accès à l’API DOM et à l’extraction directe des entrées des utilisateurs.

✅ Qu’en est-il des extensions disponibles sur le Chrome Web Store ?

Le document technique publié par les chercheurs de l’Université du Wisconsin-Madison affirme que près de 17 300 extensions présentes sur le Chrome Web Store (soit 12,5% d’entre elles) obtiennent les permissions nécessaires pour extraire des informations sensibles des sites web. Parmi ces extensions, certaines, telles que des bloqueurs de publicités populaires et des applications de shopping, comptent des millions d’installations.

Comment les entreprises concernées répondent-elles à cette menace ?

Face à cette révélation, des entreprises comme Amazon et Google ont été contactées pour connaître leur position. Amazon a rassuré ses clients en déclarant que la sécurité de ses utilisateurs était une priorité et que les informations saisies sur ses sites étaient sécurisées. Google, quant à lui, a confirmé examiner la question.

La sécurité en ligne est un sujet de préoccupation croissant, et il est essentiel de rester informé et vigilant. Les utilisateurs sont encouragés à être prudents lors de l’installation d’extensions de navigateur et à vérifier régulièrement les permissions accordées à ces outils. La responsabilité incombe également aux développeurs et aux entreprises de navigateurs de garantir la sécurité et la confidentialité des données de leurs utilisateurs.

[Source]

PromoMeilleure Vente n° 1

HP Chromebook 15a-na0003sf Ordinateur Portable 15.6″ FHD (Intel Celeron, RAM 4 Go, eMMC 64 Go, AZERTY, ChromeOS) Gris

Processeur Intel Celeron, 4 Go de RAM, stockage de 64 Go eMMC; Cet ordinateur portable ne fonctionne pas sous le système d’exploitation Windows

199,00 EUR

Meilleure Vente n° 2

ASUS Chromebook CX1400CNA-BV0136 Ordinateur Portable 14″ HD (Intel Celeron, RAM 8 Go, eMMC 64 Go, ChromeOS, AZERTY)

Poids : 1,45 kg; Cet ordinateur portable ne fonctionne pas sous le système d’exploitation Windows

399,99 EUR

PromoMeilleure Vente n° 3

Acer Chromebook 314 CB314-2H-K7AR, Ordinateur Portable 14 » HD (MediaTek MT8183, RAM 8Go, 64Go eMMC, Arm Mali-G72 MP3, Chrome OS), Laptop Gris, Clavier AZERTY (Français)

199,99 EUR

PromoMeilleure Vente n° 4

Asus ChromeBook CX1400FKA-EC0161 Ordinateur Portable Tactile et Convertible 14″ FHD (Intel Celeron, RAM 8G, Stockage 128Go, ChromeOS) Clavier AZERTY Français

360,00 EUR

Meilleure Vente n° 5

Asus Chromebook CM1402CM2A-EK0018 Ordinateur Portable 14″ FHD (MediaTek MT8183, RAM 8 Go DDR4, SSD PCIE 128 Go, ChromeOS) Clavier AZERTY Français

Cet ordinateur portable ne fonctionne pas sous le système d’exploitation Windows

399,99 EUR

PromoMeilleure Vente n° 6

Lenovo IdeaPad Slim 3 Chromebook 14M868 – Ordinateur Portable 14 » FHD (MediaTek Kompanio 520, RAM 8Go, SSD 128Go, Arm Mali-G52 2EE MC2 GPU, Chrome OS) Clavier AZERTY Français – Gris

Processeur : MediaTek Kompanio 520 | RAM : 8 Go; Stockage : 128 Go

269,99 EUR

Lien rémunéré par Amazon, dernière mise à jour le 2024-04-09 . En tant que Partenaire Amazon, je réalise un bénéfice sur les achats remplissant les conditions requises.

Christophe M

Bonjour, je suis Christophe Marcellin, passionné de high-tech et de sciences. A travers mes articles j’essais de vous faire partager ma passion et mes centres d’intérêts.  Je parcours Internet et les réseaux sociaux pour dénicher les meilleur sujets dans les domaines de la high-tech, de l’informatique mais aussi des sciences. N’hésitez pas à commenter mes articles et à poser des questions.