Pourquoi vous devriez faire attention aux extensions de navigateurs

2 Fév 2018
Conseils

Vous êtes sûrement déjà familiarisé avec les extensions de navigateur que la plupart d’entre nous utilisent quotidiennement. Elles ajoutent beaucoup de fonctionnalités utiles aux navigateurs, mais elles peuvent aussi menacer votre vie privée et votre sécurité. Discutons des problèmes des extensions de navigateur et des solutions permettant de minimiser le risque d’être victime de l’une d’entre elles. Mais d’abord, expliquons ce qu’est exactement une extension de navigateur.

Que sont les extensions de navigateur, et pourquoi en avez-vous besoin ?

Une extension de navigateur est quelque chose de semblable à un plugin pour votre navigateur qui y ajoute certaines capacités et fonctionnalités. Les extensions peuvent modifier l’interface utilisateur ou ajouter des fonctionnalités de service web à votre navigateur.

Les extensions sont par exemple utilisées pour bloquer des publicités sur des sites internet, traduire du texte d’une langue à une autre ou ajouter des pages à un service de signets tiers comme Evernote ou Pocket. Les extensions sont nombreuses : il y en a des centaines, voire des milliers, pour la productivité, la personnalisation, les achats, les jeux, etc.

Presque tous les navigateurs populaires prennent en charge les extensions – vous pouvez les trouver pour Chrome et Chromium, Safari, Opera, Internet Explorer et Edge. Elles sont largement disponibles et certaines d’entre elles sont très utiles : beaucoup de gens finissent par utiliser plusieurs extensions, et on en trouve parfois des dizaines sur un seul PC. Mais, comme nous l’avons mentionné, les extensions peuvent être à la fois pratiques et dangereuses.

Quels problèmes peuvent causer les extensions

Extensions malveillantes

Tout d’abord, les extensions peuvent être purement et simplement malveillantes. Cela se produit le plus souvent avec des extensions provenant de sites tiers, mais parfois – comme dans certains cas avec Android et Google Play, des logiciels malveillants se faufilent sur les marchés officiels.

Des chercheurs en sécurité ont par exemple découvert quatre extensions dans le magasin en ligne de Google Chrome qui se faisaient passer pour des petits post-its inoffensifs, mais qui généraient en réalité des profits pour leurs créateurs en cliquant en cachette sur des publicités rémunérées au clic.

Comment une extension peut-elle faire ça ? Eh bien, pour faire quelque chose, une extension nécessite des permissions. Le problème est que, parmi les navigateurs que les gens utilisent couramment, seul Google Chrome invite l’utilisateur à accorder ces permissions (ou pas) ; d’autres navigateurs permettent aux extensions de faire tout ce qu’elles veulent par défaut, et l’utilisateur n’a pas d’autre choix que d’accepter.

Cependant, même dans Chrome, la gestion des permissions n’existe qu’en théorie – dans la pratique, elle ne fonctionne pas. Même les extensions de base nécessitent généralement l’autorisation de « lire et modifier toutes vos données sur les sites Web que vous visitez », ce qui leur donne le pouvoir de faire pratiquement n’importe quoi avec vos données. Et si vous ne leur donnez pas cette permission, elles ne seront pas installées.

Nous étions tombés sur un autre exemple d’extensions malveillantes un peu plus tôt – elles ont été utilisées par des escrocs pour propager des malwares dans Facebook Messenger. Il y a un article à ce sujet..

Un malware prend ses aises sur Facebook Messenger

Détournement et achat d’extensions

Les extensions de navigateur sont une cible intéressante pour les escrocs, parce que beaucoup d’extensions ont des bases d’utilisateurs massives. Elles sont mises à jour automatiquement, ce qui signifie que si un utilisateur a téléchargé une extension inoffensive, elle peut être mise à jour pour devenir malveillante. Cette mise à jour serait immédiatement envoyée à l’utilisateur qui ne remarquerait rien du tout.

Un bon développeur ne ferait pas cela, mais son compte peut être piraté et une mise à jour malveillante peut être téléchargée sur le site officiel en son nom. C’est ce qui s’est passé quand des escrocs ont utilisé le phishing pour obtenir un accès à des données d’identification des développeurs d’un plug-in populaire appelé Copyfish. Dans ce cas, le plug-in qui était utilisé pour réaliser une reconnaissance optique de caractères a été utilisé par des escrocs pour envoyer des publicités supplémentaires aux utilisateurs.

Parfois, les développeurs sont approchés par des sociétés qui proposent d’acheter leurs extensions pour une somme assez alléchante. Les extensions sont généralement difficiles à monétiser, c’est pourquoi les développeurs sont souvent désireux d’accepter ces offres. Une fois que l’entreprise a acheté l’extension, elle peut la mettre à jour avec des fonctionnalités malveillantes, et cette mise à jour sera transférée aux utilisateurs. C’est exactement ce qui s’est passé avec Particle, une extension populaire de Chrome pour personnaliser YouTube qui a été abandonnée par ses développeurs. Une entreprise l’a achetée et l’a immédiatement transformée en adware.

Non malveillant, mais dangereux

Même les extensions qui ne sont pas malveillantes peuvent être dangereuses. Le danger vient du fait que la plupart des extensions ont la possibilité de collecter un grand nombre de données sur les utilisateurs (rappelez-vous la permission de « lire et modifier toutes vos données sur les sites Web que vous visitez »). Pour gagner leur vie, certains développeurs vendent des données anonymisées qu’ils ont collectées à des tiers. C’est généralement mentionné dans le CLUF de l’extension, et cela ne pose normalement pas de problème.

Le souci, c’est que parfois, ces données ne sont pas suffisamment anonymisées, ce qui entraîne de graves problèmes de confidentialité : les parties qui achètent les données peuvent identifier les utilisateurs du plugin. C’est arrivé à Web of Trust, un plug-in autrefois populaire sur Chrome, Firefox, Internet Explorer, Opera, Safari et d’autres navigateurs. Le plug-in était utilisé pour noter des sites internet en fonction de l’opinion de pairs. En plus de cela, l’extension collectait tout l’historique de navigation de ses utilisateurs.

Un site Internet allemand a affirmé que Web of Trust vendait les données qu’il collectait à des tierces parties sans les avoir anonymisées correctement, et Mozilla a alors retiré l’extension de son magasin. Les créateurs de l’extension l’ont ensuite enlevée de tous les autres magasins de navigateurs. Cependant, un mois plus tard, l’extension était de retour dans les magasins. Web of Trust n’est pas une extension malveillante, mais peut néanmoins nuire aux gens en exposant leurs données à quelqu’un qui n’est pas censé voir quels sites internet les utilisateurs visitent et ce qu’ils y font.

Comment utiliser les extensions en toute sécurité

Même si les extensions peuvent être dangereuses, certaines d’entre elles sont vraiment utiles, et c’est pourquoi vous ne seriez probablement pas prêt à les abandonner complètement. Je continue d’en utiliser une demi-douzaine, et je sais pertinemment que deux d’entre elles ont la permission de « lire et changer » dont nous avons parlé.

Il serait peut-être plus sûr de ne pas les utiliser du tout, mais ce serait peu pratique ; il nous faut un moyen d’utiliser les extensions de manière plus ou moins sécurisée. Voici comment faire :

  • N’installez pas trop d’extensions. Non seulement elles affectent les performances de l’ordinateur, mais ils sont aussi un vecteur potentiel d’attaque ; réduisez leur nombre à quelques-unes des plus utiles.
  • Installez les extensions uniquement à partir des boutiques Web officielles. Installez uniquement des applications depuis les magasins officiels. Elles y font l’objet d’un examen minutieux, avec des spécialistes de la sécurité qui filtrent celles qui sont malveillantes.
  • Faites attention aux permissions requises pour les extensions. Si une extension déjà installée sur votre ordinateur vous demande une nouvelle autorisation, cela doit vous alarmer immédiatement ; il se passe probablement quelque chose. Cette extension a pu être détournée ou vendue. Et avant d’installer une extension, il est toujours judicieux d’examiner les permissions qu’elle requiert et de se demander si elles correspondent aux fonctionnalités de l’application. Si vous ne trouvez pas d’explication logique pour les permissions, il est probablement préférable de ne pas installer cette extension.
  • Utiliser une bonne solution de sécurité. Kaspersky Internet Security peut détecter et neutraliser du code malveillant dans les extensions de navigateur. Nos solutions antivirus utilisent une grande base de données d’extensions malveillantes qui est mise à jour fréquemment. Nous découvrons de nouvelles extensions malveillantes sur Chrome presque tous les jours