Des milliers d’extensions Google Chrome peuvent voler vos mots de passe

Pc-secours est un professionnel référencé dans la liste des spécialistes du réseau CYBERMALVEILLANCE.GOUV.FR
Où que vous soyez, vous pouvez solliciter notre aide et l’obtenir rapidement.
Nous avons adopté des tarifs parmi les plus abordables du marché.
Des milliers d’extensions Chrome, disponibles sur la boutique de Google, sont en mesure de dérober les mots de passe des internautes. D’après une étude, ces extensions sont capables d’extraire des données sensibles depuis le code source de certains sites. Alerté par les chercheurs, Google estime qu’il n’y a pas de faille de sécurité dans le fonctionnement des extensions…
Des chercheurs de l’Université du Wisconsin-Madison (États-Unis) ont découvert qu’il est très facile pour des extensions Google Chrome de dérober des mots de passe à partir du code source d’un site Web. L’étude, relayée par nos confrères de Bleeping Computer, révèle que la manière dont fonctionnent les extensions peut permettre à un attaquant d’extraire des informations sensibles à partir d’un site. Les extensions, décrites comme des « petites applications qui améliorent les capacités des navigateurs Web », doivent accéder au « contenu des pages web » pour fonctionner.
Les chercheurs soulignent qu’une grande partie des sites web font malgré tout l’erreur de stocker des mots de passe, sous forme lisible, sans la moindre forme de chiffrage, directement dans le code HTML de leurs pages. Si un hacker accède au code, par le biais d’une extension, il pourra lire les mots de passe directement, sans avoir besoin de les déchiffrer. C’est évidemment une catastrophe en matière de sécurité informatique.
Comment une extension Chrome peut siphonner des mots de passe ?
Aux origines de la faille, on trouve l’arborescence DOM (Document Object Model) des sites web. Les extensions Chrome peuvent se connecter sans la moindre restriction à cette représentation structurée d’un document HTML, qui aide les développeurs à modifier le contenu et la structure en temps réel. L’extension obtient alors un accès illimité à des données potentiellement sensibles. Concrètement, une extension malveillante peut aspirer les données entrées par un internaute, comme des identifiants et des mots de passe.
« Nous constatons que l’absence de frontière de sécurité entre l’extension du navigateur et la page Web entraîne de nouvelles vulnérabilités », regrettent les chercheurs.
Pour prouver leurs dires, les chercheurs américains ont mis au point une extension Chrome malveillante, conçue pour siphonner les mots de passe des internautes. Cette extension, déguisée en assistant virtuel animé par ChatGPT, a été soumise sur le Chrome Web Store, la boutique d’extensions de Google. La solution a été programmée pour échapper aux mesures de sécurité du géant de Mountain View. Une fois installée, elle peut parcourir le code HTML des sites consultés et piocher dans les données fournies par l’utilisateur.
Notez d’ailleurs qu’il n’est pas rare que des extensions malveillantes parviennent à se faufiler sur le Chrome Web Store. Cet été, un chercheur du nom de Vladimir Palant a identifié 34 extensions Chrome dangereuses sur la boutique. Avant leur exclusion, elles totalisaient plus de 87 millions de téléchargements.
Plus de 17 000 extensions peuvent accéder à vos mots de passe
L’étude indique d’ailleurs que 17 300 extensions dans le Chrome Web Store, soit 12,5 % du total de la plateforme, disposent des autorisations nécessaires pour consulter le code HTML des sites web. C’est pourquoi la brèche épinglée par les experts de l’Université du Wisconsin-Madison s’avère particulièrement préoccupante.
Avec leur extension maison, les chercheurs se sont attaqués à 10 000 sites web. Plus de 1000 sites stockaient effectivement des mots de passe dans leur code source. Par ailleurs, 7 300 sites ont été jugés vulnérables à une attaque par extraction des données. Des sites très populaires, comme Gmail, Amazon, Cloudflare ou Facebook, sont concernés. Selon l’étude, il est possible que la faille soit déjà activement exploitée par 190 extensions différentes.
La réponse de Google
Les chercheurs assurent qu’il est « urgent d’améliorer les mesures de sécurité pour protéger les informations sensibles des utilisateurs en ligne ». L’étude propose aux développeurs de sites web de mettre en place des précautions pour bloquer l’accès aux « champs de saisie sensibles ». Le rapport recommande par ailleurs au navigateur web « d’alerter les utilisateurs lorsqu’une extension accède à des champs de saisie sensibles ».
Contacté par Bleeping Computer, Google estime de son côté qu’il n’y a pas de problème de sécurité. La firme affirme qu’il ne s’agit pas d’une faille tant que les extensions qui accèdent au code source des sites ont obtenu les autorisations prévues. Sur son site web officiel, Google rappelle que certaines « extensions sont conçues pour avoir accès aux données des utilisateurs », une fois que les autorisations appropriées ont été accordées. Cet accès est bien souvent « essentiel à la fonctionnalité » des extensions, souligne Google.
Source : 01net.com

Impôts : les campagnes d’arnaque sont de retour, attention à ces pièges
Impôts : les campagnes d’arnaque sont de retour, attention à ces piègesDes campagnes de phishing refont surface au moment où de nombreux Français s’apprêtent à payer leur taxe foncière. Des sites frauduleux copient la plateforme officielle des impôts pour dérober des...

Fin de l’anonymat sur Internet, sites Web bloqués… L’explosive loi SREN examinée par l’Assemblée !
Fin de l'anonymat sur Internet, sites Web bloqués... L'explosive loi SREN examinée par l'Assemblée !Le projet de loi visant à sécuriser et réguler l'espace numérique (SREN) possède de nombreuses dispositions qui pourraient réduire les libertés en ligne. Cette semaine,...

Non, l’État n’interdira pas les VPN en France !
Non, l'État n'interdira pas les VPN en France !Face à la polémique née d'un amendement visant à interdire l'utilisation des VPN, l'Assemblée nationale n'a pas tardé à faire machine arrière. À seulement quelques jours de l'examen du projet de loi sur la sécurisation et...

Faille 0-day : ce n’est pas seulement Chrome qu’il faut mettre à jour de toute urgence, mais tous vos navigateurs !
Faille 0-day : ce n'est pas seulement Chrome qu'il faut mettre à jour de toute urgence, mais tous vos navigateurs !Une vulnérabilité affectant le code utilisé par de nombreux logiciels et applications permet à des acteurs malveillants d'accéder aux données des...

Impôts : les campagnes d’arnaque sont de retour, attention à ces pièges
Impôts : les campagnes d’arnaque sont de retour, attention à ces piègesDes campagnes de phishing refont surface au moment où de nombreux Français s’apprêtent à payer leur taxe foncière. Des sites frauduleux copient la plateforme officielle des impôts pour dérober des...