Des milliers d’extensions Google Chrome peuvent voler vos mots de passe
Pc-secours est un professionnel référencé dans la liste des spécialistes du réseau CYBERMALVEILLANCE.GOUV.FR
Où que vous soyez, vous pouvez solliciter notre aide et l’obtenir rapidement.
Nous avons adopté des tarifs parmi les plus abordables du marché.
Des milliers d’extensions Chrome, disponibles sur la boutique de Google, sont en mesure de dérober les mots de passe des internautes. D’après une étude, ces extensions sont capables d’extraire des données sensibles depuis le code source de certains sites. Alerté par les chercheurs, Google estime qu’il n’y a pas de faille de sécurité dans le fonctionnement des extensions…
Des chercheurs de l’Université du Wisconsin-Madison (États-Unis) ont découvert qu’il est très facile pour des extensions Google Chrome de dérober des mots de passe à partir du code source d’un site Web. L’étude, relayée par nos confrères de Bleeping Computer, révèle que la manière dont fonctionnent les extensions peut permettre à un attaquant d’extraire des informations sensibles à partir d’un site. Les extensions, décrites comme des « petites applications qui améliorent les capacités des navigateurs Web », doivent accéder au « contenu des pages web » pour fonctionner.
Les chercheurs soulignent qu’une grande partie des sites web font malgré tout l’erreur de stocker des mots de passe, sous forme lisible, sans la moindre forme de chiffrage, directement dans le code HTML de leurs pages. Si un hacker accède au code, par le biais d’une extension, il pourra lire les mots de passe directement, sans avoir besoin de les déchiffrer. C’est évidemment une catastrophe en matière de sécurité informatique.
Comment une extension Chrome peut siphonner des mots de passe ?
Aux origines de la faille, on trouve l’arborescence DOM (Document Object Model) des sites web. Les extensions Chrome peuvent se connecter sans la moindre restriction à cette représentation structurée d’un document HTML, qui aide les développeurs à modifier le contenu et la structure en temps réel. L’extension obtient alors un accès illimité à des données potentiellement sensibles. Concrètement, une extension malveillante peut aspirer les données entrées par un internaute, comme des identifiants et des mots de passe.
« Nous constatons que l’absence de frontière de sécurité entre l’extension du navigateur et la page Web entraîne de nouvelles vulnérabilités », regrettent les chercheurs.
Pour prouver leurs dires, les chercheurs américains ont mis au point une extension Chrome malveillante, conçue pour siphonner les mots de passe des internautes. Cette extension, déguisée en assistant virtuel animé par ChatGPT, a été soumise sur le Chrome Web Store, la boutique d’extensions de Google. La solution a été programmée pour échapper aux mesures de sécurité du géant de Mountain View. Une fois installée, elle peut parcourir le code HTML des sites consultés et piocher dans les données fournies par l’utilisateur.
Notez d’ailleurs qu’il n’est pas rare que des extensions malveillantes parviennent à se faufiler sur le Chrome Web Store. Cet été, un chercheur du nom de Vladimir Palant a identifié 34 extensions Chrome dangereuses sur la boutique. Avant leur exclusion, elles totalisaient plus de 87 millions de téléchargements.
Plus de 17 000 extensions peuvent accéder à vos mots de passe
L’étude indique d’ailleurs que 17 300 extensions dans le Chrome Web Store, soit 12,5 % du total de la plateforme, disposent des autorisations nécessaires pour consulter le code HTML des sites web. C’est pourquoi la brèche épinglée par les experts de l’Université du Wisconsin-Madison s’avère particulièrement préoccupante.
Avec leur extension maison, les chercheurs se sont attaqués à 10 000 sites web. Plus de 1000 sites stockaient effectivement des mots de passe dans leur code source. Par ailleurs, 7 300 sites ont été jugés vulnérables à une attaque par extraction des données. Des sites très populaires, comme Gmail, Amazon, Cloudflare ou Facebook, sont concernés. Selon l’étude, il est possible que la faille soit déjà activement exploitée par 190 extensions différentes.
La réponse de Google
Les chercheurs assurent qu’il est « urgent d’améliorer les mesures de sécurité pour protéger les informations sensibles des utilisateurs en ligne ». L’étude propose aux développeurs de sites web de mettre en place des précautions pour bloquer l’accès aux « champs de saisie sensibles ». Le rapport recommande par ailleurs au navigateur web « d’alerter les utilisateurs lorsqu’une extension accède à des champs de saisie sensibles ».
Contacté par Bleeping Computer, Google estime de son côté qu’il n’y a pas de problème de sécurité. La firme affirme qu’il ne s’agit pas d’une faille tant que les extensions qui accèdent au code source des sites ont obtenu les autorisations prévues. Sur son site web officiel, Google rappelle que certaines « extensions sont conçues pour avoir accès aux données des utilisateurs », une fois que les autorisations appropriées ont été accordées. Cet accès est bien souvent « essentiel à la fonctionnalité » des extensions, souligne Google.
Source : 01net.com
HP bloque encore les cartouches d’encre non officielles avec une mise à jour de ses imprimantes
HP bloque encore les cartouches d'encre non officielles avec une mise à jour de ses imprimantesDepuis quelques semaines, plusieurs clients ont eu la mauvaise surprise de voir que leurs cartouches d'encre ou toner non HP, pourtant compatibles, ne fonctionnaient plus...
Windows 11 et les MAJs KB5023698, KB5023706, quoi de neuf ?
Windows 11 : la dernière mise à jour cause de gros problèmesAttention, la dernière mise à jour de Windows 11 fraîchement déployée semble faire des siennes auprès d'un certain nombre d'utilisateurs et utilisatrices du système d'exploitation. Alors que Windows 11...
Xenomorph : le malware peut maintenant voler les infos d’identification des clients de 400 banques
Xenomorph : le malware peut maintenant voler les infos d'identification des clients de 400 banquesLa troisième génération du malware bancaire Xenomorph est commercialisée par des pirates. Celle-ci est plus efficace et cible un plus grand nombre de banques, dont des...
Windows 11, comment contourner l’exigence de compte Microsoft ?
Windows 11, comment contourner l’exigence de compte Microsoft ?Microsoft tente de faire disparaitre la création d’un compte local lors de l’installation de Windows 11. La dernière manœuvre date du mois de février 2022. L’année dernière, la firme a imposé pour les...
Alerte rouge pour les systèmes d’exploitation d’Apple
Alerte rouge pour les systèmes d'exploitation d'AppleiPhone, iPad, ordinateur Mac et même montre connectée Apple Watch. Des mises à jour sont à appliquer en urgence pour un exploit 0-day et 0-click. Apple publie des mises à jour pour les plus récentes moutures...
