Extensions de navigateur : problèmes de sécurité et confidentialité

Nous sommes nombreux à utiliser les extensions de navigateur au quotidien car elles offrent de nombreuses fonctions utiles à nos navigateurs. Cependant, ils constituent également une menace pour la vie privée et la sécurité. Cet article vous explique ce qui ne va pas avec les extensions de navigateur et comment vous pouvez utiliser les modules complémentaires pratiques en toute sécurité. Mais d'abord, voyons plus en détail ce qu'est exactement une extension de navigateur.

Quelles sont les extensions de navigateur et pourquoi vous en avez besoin?

Une extension de navigateur est une sorte de plugin qui vous permet d'ajouter certaines fonctions et caractéristiques à votre navigateur. Par exemple, les extensions peuvent modifier l'interface utilisateur ou donner à votre navigateur des capacités de service web.

Les extensions sont utilisées pour bloquer les publicités gênantes sur les pages web, traduire le contenu d'un site web dans une autre langue ou ajouter un site web à un service de mise en signet tiers spécifique tel que Evernote ou Pocket. Les extensions sont très nombreuses - il en existe des centaines, voire des milliers, à des fins de productivité, de personnalisation, d'achat, etc.

Les extensions de navigateur sont prises en charge par presque tous les navigateurs courants - elles sont disponibles pour Chrome, Chromium, Safari, Opera, Internet Explorer et Edge. Les modules complémentaires sont largement utilisés et beaucoup d'entre eux sont même très utiles. C'est pourquoi de nombreuses personnes utilisent non pas une, mais des dizaines d'extensions de navigateur. Mais comme mentionné précédemment, ils peuvent être non seulement pratiques mais aussi très dangereux, et ceci peut mal tourner avec les extensions de navigateur.

Les extensions malveillantes

Les extensions de navigateur peuvent être malveillantes. Souvent, dans ce cas, les extensions proviennent de sites web tiers. De temps en temps, cependant, des logiciels malveillants peuvent également s'infiltrer dans les magasins officiels - tels qu'Android ou Google Play.

Récemment, des chercheurs en sécurité ont découvert quatre extensions dans la boutique en ligne Google Chrome qui se sont fait passer pour des applications inoffensives de notes autocollantes mais qui ont été prises en train de cliquer secrètement sur des publicités payantes pour leurs fabricants dans un but lucratif. Le problème est que parmi les navigateurs les plus populaires du marché, seul Google Chrome demande explicitement à l'utilisateur d'accorder (ou de refuser) des autorisations spécifiques aux extensions. D'autres navigateurs accordent ces autorisations par défaut.

Mais même dans le cas de Google Chrome, la gestion des autorisations mentionnée ci-dessus ne fonctionne qu'en théorie. Dans la pratique, même les extensions de navigateur de base nécessitent souvent une autorisation pour lire et modifier toutes vos données sur les sites web que vous visitez. Cela permet aux modules complémentaires d'utiliser vos données à toutes fins. Si vous refusez la permission, l'extension ne peut pas non plus être installée.

Les extensions de navigateur sont détournées et achetées

Les extensions de navigateur sont une cible intéressante pour les criminels, car de nombreuses extensions ont une base d'utilisateurs massive. En outre, les extensions peuvent être mises à jour automatiquement, ce qui signifie que si un utilisateur a téléchargé une extension autrefois inoffensive, elle peut être mise à jour en une extension malveillante ; l'utilisateur n'en aura pas conscience. Un développeur légitime ne ferait pas cela, bien sûr ; cependant, son compte pourrait être détourné et une mise à jour malveillante pourrait être publiée à son nom sur le magasin officiel. C'est exactement ce qui s'est passé lorsque des criminels ont utilisé des méthodes de phishing (ou hameçonnage) pour obtenir les références des développeurs d'un plugin populaire appelé Copyfish. Dans ce cas, le plugin a été utilisé par des criminels pour afficher des publicités supplémentaires aux utilisateurs.

Il arrive que des entreprises approchent des développeurs pour acheter leurs extensions de navigateur pour une somme assez conséquente. Les extensions sont généralement difficiles à monétiser, de sorte que les développeurs répondent souvent à l'offre. Une fois que l'entreprise a acheté l'extension, elle peut la mettre à jour avec des fonctionnalités malveillantes qui sont ensuite transmises à l'utilisateur. C'est exactement ce qui s'est passé avec Particle, par exemple, une extension chromée populaire pour personnaliser YouTube : L'extension de navigateur a été achetée par une entreprise et immédiatement transformée en adware.

Non malveillant mais toujours dangereux

Même les extensions qui ne sont pas malveillantes en principe peuvent être dangereuses. Le danger vient du fait que de nombreuses extensions sont capables de collecter de grandes quantités de données auprès des utilisateurs. Pour gagner leur pain quotidien, certains développeurs vendent à des tiers des données collectées et anonymisées. Habituellement, cela est mentionné dans le CLUF de l'extension concernée et est en principe acceptable. Le problème ne se pose que lorsque les données ne sont pas suffisamment anonymisées, ce qui peut entraîner de graves problèmes de respect de la vie privée car les acheteurs des données peuvent identifier les utilisateurs du plugin. C'est exactement ce qui s'est passé dans le cas de Web of Trust - un plugin autrefois populaire pour Chrome, Firefox, Internet Explorer, Opera, Safari et d'autres navigateurs. Le plugin a été utilisé pour évaluer les sites web. En dehors de cela, l'extension recueillait l'intégralité de l'historique de navigation de ses utilisateurs.

Il a aussi été affirmé que Web of Trust vendait les informations qu'il recueillait à des tiers sans les rendre suffisamment anonymes, ce qui a conduit Mozilla à retirer l'extension de la vente. L'add-on a ensuite été retiré de la circulation par les fabricants. Un mois plus tard, cependant, l'extension était à nouveau disponible dans tous les magasins. Bien que le Web of Trust ne soit pas une extension de navigateur malveillante en soi, il peut quand même causer du tort aux personnes en donnant à des tiers des informations personnelles qui n'ont pas été rendues anonymes de manière adéquate.

Ainsi, vous pouvez utiliser les extensions de navigateur en toute sécurité malgré le fait que les extensions de navigateur peuvent être dangereuses, beaucoup d'entre elles sont vraiment utiles. Les utilisateurs doivent toutefois identifier ceux ayant la permission susmentionnée de "lire et changer".

Comment bien utiliser les extensions de navigateurs ?

Bien sûr, il serait plus sûr de ne pas utiliser les extensions de navigateur tout simplement. Mais comme beaucoup d'entre eux sont très utiles, nous devons trouver un moyen d'utiliser les modules complémentaires de manière plus ou moins sûre. Voici donc quelques conseils:

  • Ne pas installer trop d'extensions

Ils n'affectent pas seulement les performances des ordinateurs, mais sont aussi un vecteur d'attaque potentiel. Limitez donc leur nombre à certains des plus utiles.

  • Installez les extensions uniquement à partir des boutiques en ligne officielles

Elles y seront soumises à une vérification initiale et des spécialistes de la sécurité filtreront les extensions qui sont totalement malveillantes.

  • Attention aux autorisations requises pour les extensions

Si une extension déjà installée sur votre ordinateur demande une nouvelle autorisation, vous devez vous méfier. Cette extension peut avoir été piratée ou vendue. Avant d'installer une extension, il est toujours judicieux d'examiner les autorisations dont vous avez besoin et de réfléchir à leur adéquation avec le fonctionnement de l'application. Si vous ne trouvez pas d'explication logique aux autorisations, il est probablement préférable de ne pas installer cette extension.

  • Utilisez une bonne solution de sécurité

Un bon antivirus peut détecter et neutraliser les codes malveillants dans les extensions de navigateur.