Des milliers d’extensions Google Chrome peuvent voler vos mots de passe
Pc-secours est un professionnel référencé dans la liste des spécialistes du réseau CYBERMALVEILLANCE.GOUV.FR
Où que vous soyez, vous pouvez solliciter notre aide et l’obtenir rapidement.
Nous avons adopté des tarifs parmi les plus abordables du marché.
Des milliers d’extensions Chrome, disponibles sur la boutique de Google, sont en mesure de dérober les mots de passe des internautes. D’après une étude, ces extensions sont capables d’extraire des données sensibles depuis le code source de certains sites. Alerté par les chercheurs, Google estime qu’il n’y a pas de faille de sécurité dans le fonctionnement des extensions…
Des chercheurs de l’Université du Wisconsin-Madison (États-Unis) ont découvert qu’il est très facile pour des extensions Google Chrome de dérober des mots de passe à partir du code source d’un site Web. L’étude, relayée par nos confrères de Bleeping Computer, révèle que la manière dont fonctionnent les extensions peut permettre à un attaquant d’extraire des informations sensibles à partir d’un site. Les extensions, décrites comme des « petites applications qui améliorent les capacités des navigateurs Web », doivent accéder au « contenu des pages web » pour fonctionner.
Les chercheurs soulignent qu’une grande partie des sites web font malgré tout l’erreur de stocker des mots de passe, sous forme lisible, sans la moindre forme de chiffrage, directement dans le code HTML de leurs pages. Si un hacker accède au code, par le biais d’une extension, il pourra lire les mots de passe directement, sans avoir besoin de les déchiffrer. C’est évidemment une catastrophe en matière de sécurité informatique.
Comment une extension Chrome peut siphonner des mots de passe ?
Aux origines de la faille, on trouve l’arborescence DOM (Document Object Model) des sites web. Les extensions Chrome peuvent se connecter sans la moindre restriction à cette représentation structurée d’un document HTML, qui aide les développeurs à modifier le contenu et la structure en temps réel. L’extension obtient alors un accès illimité à des données potentiellement sensibles. Concrètement, une extension malveillante peut aspirer les données entrées par un internaute, comme des identifiants et des mots de passe.
« Nous constatons que l’absence de frontière de sécurité entre l’extension du navigateur et la page Web entraîne de nouvelles vulnérabilités », regrettent les chercheurs.
Pour prouver leurs dires, les chercheurs américains ont mis au point une extension Chrome malveillante, conçue pour siphonner les mots de passe des internautes. Cette extension, déguisée en assistant virtuel animé par ChatGPT, a été soumise sur le Chrome Web Store, la boutique d’extensions de Google. La solution a été programmée pour échapper aux mesures de sécurité du géant de Mountain View. Une fois installée, elle peut parcourir le code HTML des sites consultés et piocher dans les données fournies par l’utilisateur.
Notez d’ailleurs qu’il n’est pas rare que des extensions malveillantes parviennent à se faufiler sur le Chrome Web Store. Cet été, un chercheur du nom de Vladimir Palant a identifié 34 extensions Chrome dangereuses sur la boutique. Avant leur exclusion, elles totalisaient plus de 87 millions de téléchargements.
Plus de 17 000 extensions peuvent accéder à vos mots de passe
L’étude indique d’ailleurs que 17 300 extensions dans le Chrome Web Store, soit 12,5 % du total de la plateforme, disposent des autorisations nécessaires pour consulter le code HTML des sites web. C’est pourquoi la brèche épinglée par les experts de l’Université du Wisconsin-Madison s’avère particulièrement préoccupante.
Avec leur extension maison, les chercheurs se sont attaqués à 10 000 sites web. Plus de 1000 sites stockaient effectivement des mots de passe dans leur code source. Par ailleurs, 7 300 sites ont été jugés vulnérables à une attaque par extraction des données. Des sites très populaires, comme Gmail, Amazon, Cloudflare ou Facebook, sont concernés. Selon l’étude, il est possible que la faille soit déjà activement exploitée par 190 extensions différentes.
La réponse de Google
Les chercheurs assurent qu’il est « urgent d’améliorer les mesures de sécurité pour protéger les informations sensibles des utilisateurs en ligne ». L’étude propose aux développeurs de sites web de mettre en place des précautions pour bloquer l’accès aux « champs de saisie sensibles ». Le rapport recommande par ailleurs au navigateur web « d’alerter les utilisateurs lorsqu’une extension accède à des champs de saisie sensibles ».
Contacté par Bleeping Computer, Google estime de son côté qu’il n’y a pas de problème de sécurité. La firme affirme qu’il ne s’agit pas d’une faille tant que les extensions qui accèdent au code source des sites ont obtenu les autorisations prévues. Sur son site web officiel, Google rappelle que certaines « extensions sont conçues pour avoir accès aux données des utilisateurs », une fois que les autorisations appropriées ont été accordées. Cet accès est bien souvent « essentiel à la fonctionnalité » des extensions, souligne Google.
Source : 01net.com
La maintenance de Windows 10 21H1 va s’arrêter, que faut-il savoir ?
La maintenance de Windows 10 21H1 va s’arrêter, que faut-il savoir ?Windows 10 fait toujours partie du catalogue Microsoft. Ce système d’exploitation est pris en charge jusqu’en octobre 2025. En attendant cette date fatidique, le géant abandonne progressivement les...
Outlook, Thunderbird : attention à ce nouveau virus qui veut voler vos compte mails
Outlook, Thunderbird : attention à ce nouveau virus qui veut voler vos compte mails.Un virus qui en veut à vos identifiants et mots de passe vient d'être repéré par des chercheurs en cybersécurité en ce mois de novembre 2022. Pour l'heure, il cible avant tout les...
Windows 11 : Microsoft retente l’intégration de pub
Windows 11 : Microsoft retente l'intégration de pubMicrosoft a de la suite dans les idées avec une nouvelle itération de sa publicité dans Windows 11 et le menu Démarrer. Encore une fois, Microsoft expérimente de la publicité déguisée pour ses propres produits et...
Windows 11 22H2, un bug affecte certains PC Gaming, solution
Windows 11 22H2, un bug affecte certains PC Gaming, solutionMicrosoft confirme un nouveau problème avec Windows 11 22H2. Bien qu’un correctif soit déjà disponible le géant a mis en place des restrictions. Ces dernières permettent de bloquer la mise à niveau sur les...
Attention aux fichiers .zip, ils cachent peut-être une attaque phishing
Attention aux fichiers .zip, ils cachent peut-être une attaque phishingPrenez garde aux fichiers .zip ! D’après des experts en sécurité, cette extension est susceptible d’être utilisée par des pirates pour orchestrer d’astucieuses attaques phishing… Il y a quelques...
