35% des extensions Chrome accèdent aux données des utilisateurs sur n’importe quel site web

Selon une étude effectuée par la société de cybersécurité Duo Labs sur plus de 120 000 extensions Google Chrome, plus d’un tiers demande aux utilisateurs d’accéder et de lire leurs données sur n’importe quel site web.

85% des extensions analysées n’ont pas de politique de confidentialité

Autre enseignement de l’étude, 85% des 120 000 extensions analysées n’ont pas de politique dédiée à la confidentialité des données, ce qui signifie qu’elles n’ont pas de document juridiquement contraignant qui décrit comment les développeurs s’engagent à gérer les données de leurs utilisateurs.

Duo Labs a examiné quelles autorisations les extensions demandaient aux utilisateurs, quels domaines externes étaient communiqués, si les extensions utilisaient des bibliothèques vulnérables, accédaient à des données OAuth2, avaient vérifié les en-têtes de Content Security Policy (CSP) et si elles indiquaient des informations relatives à leur politique de confidentialité ou à leurs auteurs.

Parmi les autres résultats obtenus :

• 77% des extensions n’indiquent aucun site de support.
• 32% ont utilisé des bibliothèques JavaScript tierces contenant des vulnérabilités connues.
• 9% ont pu accéder à des fichiers de cookies et les lire, dont certains utilisés pour des opérations d’authentification.

Consultez les rapports de sécurité de vos extensions préférées sur CRXcavator

Les ingénieurs de Duo Labs ont réalisé cette étude en partenariat avec un nouveau service lancé par la société nommé CRXcavator. L’outil est gratuit et permet à ses utilisateurs de consulter les rapports de sécurité faits sur leurs extensions préférées, ou de soumettre une extension à analyser si cela n’a pas été fait par les ingénieurs.

Une extension Chrome a également été lancée, destinée aux entreprises et plus particulièrement à leurs administrateurs système qui peuvent l’installer sur les PC des employés de l’entreprise. L’extension recueille des informations sur ce que les employés ont installé, puis envoie ces données à un compte CRXcavator créé préalablement par les administrateurs sur le portail de l’outil.

Les administrateurs système peuvent ensuite consulter le score de risque de chaque extension installée par les employés, et autoriser ou interdire l’extension au sein de leur réseau. Selon les ingénieurs de Duo Labs, l’extension CRXcavator « permet aux organisations de savoir exactement quelles extensions sont utilisées, qui les utilise et quel risque elles représentent pour l’entreprise ».

Elle peut également être utilisée pour permettre aux employés de demander l’autorisation d’installer une nouvelle extension Chrome. Les administrateurs système reçoivent cette demande d’installation dans le tableau de bord de leur compte CRXcavator, peuvent vérifier le score de risque de l’extension et autoriser ou non son installation.

La nécessité de contrôler les extensions utilisées par les employés est un facteur croissant pour les entreprises. Oréolé par sa position de navigateur web le plus utilisé, Chrome est une cible que les hackers ont tendance à exploiter. Il est primordial, et ce quelle que soit leur taille, que les sociétés gardent un œil sur les extensions qu’elles utilisent, pour prévenir toute attaque d’hameçonnage ou liée à l’espionnage industriel ou la fraude.