Next - [MàJ] Chrome 25 bêta : la fin de l’installation silencieuse d’une extension

Depuis longtemps maintenant, il est possible d'installer « silencieusement » une extension sur Chrome, via la base de registre dans le cas de Windows par exemple. Suite à des abus, Google annonce que ce ne sera plus le cas, et la version 25 de son navigateur intègrera deux fonctionnalités permettant de s'en prémunir.

D'après Google, une majorité d'utilisateurs installent leurs extensions Chrome directement depuis le Web Store, mais ce n'est pas toujours le cas. En effet, certaines peuvent venir s'ajouter automatiquement à votre navigateur lorsque vous installez une application, on parle alors d'une mise en place « silencieuse » puisque vous n'avez pas donné explicitement votre accord. Deux méthodes officielles existent : via la base de registre pour Windows, ou bien via un Json.

Via son blog dédié à Chromium, Google précise que, suite à de nombreux abus, ce ne sera plus le cas. En effet, les extensions déployées via cette technique seront désormais désactivées par défaut, mais vous aurez évidemment la possibilité de l'activer ou bien de la supprimer. Le choix revient donc à l'utilisateur, ce qui est plutôt appréciable.

De plus, ce changement est rétroactif et les extensions précédemment mises en place via l'une de ces méthodes seront automatiquement désactivées. Chrome vous proposera néanmoins de les réactiver manuellement si besoin.

Google précise enfin que ces fonctionnalités seront déployées sur Chrome 25, sans que l'on sache s'il s'agit de la version stable ou d'une bêta.

Commentaires (43)

Anonyme

Hier à 13h40

Tant mieux !

sioowan

C’est pas plus mal.

zaknaster

" />

Elektro121 Abonné

Hier à 13h43

Ah bah enfin ! Plus de “Click-to-Call” de Skype. " />

JCLB Abonné

Hier à 13h56

Si ça pouvait être pareil pour tous, rien que pour la babylon toolbar " />

Jim PROFIT

Hier à 14h21

" />
Chrome devient de plus en plus chiant!

Je veux un mode expert/développeur!
Laissez moi tranquille je fais ce que je veux " />

127.0.0.1

Hier à 14h32

Jim PROFIT a écrit :

" />
Chrome devient de plus en plus chiant!

Je veux un mode expert/développeur!
Laissez moi tranquille je fais ce que je veux " />

En quoi un mode “expert/développeur” devrait autoriser que les plugins s’installent sournoisement silencieusement ?

Dyblast

Hier à 14h47

Déjà qu’on ne peux plus installer un plugin depuis un site web sans passer par le store …

Blood_Man

Hier à 16h20

JCLB a écrit :

Si ça pouvait être pareil pour tous, rien que pour la babylon toolbar " />

La baylon toolbar ? le truc que tout le monde a, mais personne ne veut ?

Antwan

Hier à 16h55

Firefox le fait depuis un certain temps. " />

jmanici

Hier à 00h14

Firefox le fait depuis un certain temps

IE9 aussi demande a l’utilisateur s’il souhaite activer les plugins nouvellement installés ou les garder désactivés.

c’est marrant que google ait pu croire que Chrome serait épargné par les éditeurs de crapwares aussi longtemps sans réagir.

même sur osx on voit de plus de plugins publicitaires installés dans les navigateurs par des logiciels “gratuits”.

Baron.lost

Hier à 08h13

il ne reste plus que chrome lui même ne s’installe plus silencieusement et la boucle sera boucle " />

MickeyFreeStyler

Hier à 11h02

Baron.lost a écrit :

il ne reste plus que chrome lui même ne s’installe plus silencieusement et la boucle sera boucle " />

J’attend çà avec impatience, un Chrome qui ne s’installe pas dans le profil utilisateur. Quelle daube ce Chrome rien que pour cela, obligé de le virer régulièrement sur les postes que je gère.

SebGF Abonné

jmanici a écrit :

c’est marrant que google ait pu croire que Chrome serait épargné par les éditeurs de crapwares aussi longtemps sans réagir.

Ils devaient se dire qu’avec le mode de distribution de Chrome qui est proche du malware (aka “je m’installe en même temps qu’un autre logiciel avec une option à décocher qui ne sera pas vue par “clicliclic finish”), ajouter des add-ons de la même façon n’aurait pas choqué l’utilisateur. " />

Hier à 11h13

SebGF a écrit :

Ils devaient se dire qu’avec le mode de distribution de Chrome qui est proche du malware (aka “je m’installe en même temps qu’un autre logiciel avec une option à décocher qui ne sera pas vue par “clicliclic finish”), ajouter des add-ons de la même façon n’aurait pas choqué l’utilisateur. " />

C’est pas ça qui booste les PDM tu sais, cherche une autre excuse

Hier à 14h34

C’est pas ça qui booste les PDM tu sais, cherche une autre excuse

si ça ne booste pas les PDM, alors tu peux nous expliquer pourquoi Google jetterait de l’argent par les fenêtres en payant $1 les développeurs tiers a chaque install réussie (+ mise en navigateur par defaut) de ce spyware?

Martinlaueffer

Hier à 22h26

jmanici a écrit :

en payant $1 les développeurs tiers a chaque install réussie (+ mise en navigateur par defaut) de ce spyware?

Ta source ?

Hier à 23h26

jmanici a écrit :

si ça ne booste pas les PDM, alors tu peux nous expliquer pourquoi Google jetterait de l’argent par les fenêtres en payant $1 les développeurs tiers a chaque install réussie (+ mise en navigateur par defaut) de ce spyware?

Pour inciter à développer pour le browser, vu que ça peut pas être payant.
Navigateur par défaut, toujours cet argument moisi, le michu continuera de cliquer sur l’icone IE hein (et d’accepter de remettre IE par défaut lors qu’il le demandera)

Hier à 09h15

ff9098 a écrit :

Navigateur par défaut, toujours cet argument moisi, le michu continuera de cliquer sur l’icone IE hein (et d’accepter de remettre IE par défaut lors qu’il le demandera)

Effectivement, c’est le cas pour tout ceux qui ne s’y connaissent pas trop et pour qui j’ai installé Chrome. Ils démarrent toujours l’ancien navigateur qu’ils utilisaient…

Hier à 09h43

ff9098 a écrit :

Pour inciter à développer pour le browser, vu que ça peut pas être payant.
Navigateur par défaut, toujours cet argument moisi, le michu continuera de cliquer sur l’icone IE hein (et d’accepter de remettre IE par défaut lors qu’il le demandera)

+1, ça me fait toujours rire cette excuse pour justifier la réussite de Chrome, ça doit jouer forcément quelque part mais depuis la fin 2008 Chrome augmente tranquillement ses PDM dans un marché “impossible” à prendre (du moins c’est ce qu’on pensait), ils ont quand même conçu un super navigateur qui a bien relancé le marché, il y a du mérite.

Hier à 12h23

zaknaster a écrit :

+1, ça me fait toujours rire cette excuse pour justifier la réussite de Chrome, ça doit jouer forcément quelque part mais depuis la fin 2008 Chrome augmente tranquillement ses PDM dans un marché “impossible” à prendre (du moins c’est ce qu’on pensait), ils ont quand même conçu un super navigateur qui a bien relancé le marché, il y a du mérite.

Oui, j’étais pas fan au début mais maintenant " />

Hier à 12h25

ff9098 a écrit :

Oui, j’étais pas fan au début mais maintenant " />

Pareil, j’ai du attendre dans les alentours de la version 10 pour switcher " />

bzc Abonné

Hier à 10h05

MickeyFreeStyler a écrit :

J’attend çà avec impatience, un Chrome qui ne s’installe pas dans le profil utilisateur.

http://support.google.com/chrome/bin/answer.py?hl=fr&answer=126299

Deuxième lien de la liste.

neves

Hier à 10h07

Comment ça marche cette nouvelle fonctionnalité ? Qu’est ce qui empêche le malware qui a ajouté l’extension dans la base de registre d’aller dire à Chrome “c’est bon cette extension je l’ai validé à la main” ?

ErGo_404

Hier à 10h27

NeVeS a écrit :

Comment ça marche cette nouvelle fonctionnalité ? Qu’est ce qui empêche le malware qui a ajouté l’extension dans la base de registre d’aller dire à Chrome “c’est bon cette extension je l’ai validé à la main” ?

Bah ton malware va devoir taper dans les préférences de Chrome. Autrement dit soit il sera bloqué par les systèmes car il n’aura pas les droits, soit ça sera au moins facilement détectable. Sans compter que si tes prefs sont synchronisées, il y a moyen de protéger encore plus.

atem18

Hier à 10h31

Dyblast a écrit :

Déjà qu’on ne peux plus installer un plugin depuis un site web sans passer par le store …

C’est possible. Tu n’as juste pas cherché… " />

Hier à 10h32

ErGo_404 a écrit :

Bah ton malware va devoir taper dans les préférences de Chrome. Autrement dit soit il sera bloqué par les systèmes car il n’aura pas les droits, soit ça sera au moins facilement détectable. Sans compter que si tes prefs sont synchronisées, il y a moyen de protéger encore plus.

Justement, je ne comprend pas la protection, si c’est juste ça. Si le malware peut écrire dans la base de registre, il peut aussi écrire dans le profile de l’utilisateur. Donc dans les préférences de Chrome. Les droits il les a, puisqu’il tourne avec les droits de l’utilisateur (sinon il ne pourrait même pas ajouter sa clé de registre et le problème ne se poserait pas).

C’est vraiment uniquement ça ?

fitfat

Hier à 11h04

NeVeS a écrit :

Justement, je ne comprend pas la protection, si c’est juste ça. Si le malware peut écrire dans la base de registre, il peut aussi écrire dans le profile de l’utilisateur. Donc dans les préférences de Chrome. Les droits il les a, puisqu’il tourne avec les droits de l’utilisateur (sinon il ne pourrait même pas ajouter sa clé de registre et le problème ne se poserait pas).

C’est vraiment uniquement ça ?

C’est pas pasqu’il a le droit d’écrire dans la BDR qu’il peut écrire n’importe où dans le profil utilisateur. Et depuis Vista, à moins de désactiver l’UAC, le programme ne tourne pas avec les mêmes droits que l’utilisateur.

Hier à 11h46

fitfat a écrit :

C’est pas pasqu’il a le droit d’écrire dans la BDR qu’il peut écrire n’importe où dans le profil utilisateur. Et depuis Vista, à moins de désactiver l’UAC, le programme ne tourne pas avec les mêmes droits que l’utilisateur.

Si Chrome a le droit d’écrire dans le profile pour y écrire ses préferences, l’utilisateur a le droit d’écrire dans le profile. Si l’utilisateur lance le malware, le malware a le droit d’écrire dans le profile. Je ne vois pas ce qu’il y a de compliqué à comprendre ici.
L’UAC n’entre pas en jeu ici, l’UAC n’intervient que pour les taches administratives, pas pour écrire dans le profile de l’utilisateur (et heureusement sinon il s’activerait toutes les secondes.). Ici on parle d’actions qui se déroulent intégralement sans droit administratif (écrire dans le profile de l’utilisateur, écrire dans la base de registre de l’utilisateur).

Shilz

Hier à 11h56

Blood_Man a écrit :

La baylon toolbar ? le truc que tout le monde a, mais personne ne veut ?

comment vous faites ?? faut vraiment etre noob " />

Hier à 12h00

NeVeS a écrit :

Si Chrome a le droit d’écrire dans le profile pour y écrire ses préferences, l’utilisateur a le droit d’écrire dans le profile. Si l’utilisateur lance le malware, le malware a le droit d’écrire dans le profile. Je ne vois pas ce qu’il y a de compliqué à comprendre ici.

C’est toi qui ne comprend pas qu’un programme ne peut pas sortir de son espace définie. Chrome à le droit d’écrire dans son propre espace à l’intérieur de l’espace utilisateur. Mais il ne peut pas écrire dans l’espace de Firefox qui se situe dans le même espace utilisateur.

L’UAC n’entre pas en jeu ici, l’UAC n’intervient que pour les taches administratives, pas pour écrire dans le profile de l’utilisateur (et heureusement sinon il s’activerait toutes les secondes.).

Ce n’est pas pasque tu ne voit pas l’UAC que l’UAC n’agit pas. Ce que tu appelle l’activation de l’UAC, c’est simplement une requête du programme pour élever ses droits. Si un programme sort de son espace sans faire de requête d’élévation, l’UAC le bloque sans embêter l’utilisateur.

Ici on parle d’actions qui se déroulent intégralement sans droit administratif (écrire dans le profile de l’utilisateur, écrire dans la base de registre de l’utilisateur).

Et il faut les droit de l’utilisateur pour accéder librement à l’intégralité du profile utilisateur. Hors les programmes n’ont pas les droits utilisateurs, donc ils ne peuvent pas accéder à l’intégralité du profile utilisateur.

Hier à 12h09

fitfat a écrit :

C’est toi qui ne comprend pas qu’un programme ne peut pas sortir de son espace définie. Chrome à le droit d’écrire dans son propre espace à l’intérieur de l’espace utilisateur. Mais il ne peut pas écrire dans l’espace de Firefox qui se situe dans le même espace utilisateur.

Mais on ne parle pas de Chrome ni d’espace utilisateur ! On parle d’un malware qui installerait une extension Chrome malicieuse. Ce à quoi Chrome répond qu’on ne peut plus silencieusement installer une extension maintenant, il vaut une validation manuelle. Rien à voir avec ce que tu expliques.

Hier à 12h39

NeVeS a écrit :

Mais on ne parle pas de Chrome ni d’espace utilisateur ! On parle d’un malware qui installerait une extension Chrome malicieuse. Ce à quoi Chrome répond qu’on ne peut plus silencieusement installer une extension maintenant, il vaut une validation manuelle. Rien à voir avec ce que tu expliques

Ok, je reprend :

fitfat a écrit :

C’est toi qui ne comprend pas qu’un programme ne peut pas sortir de son espace définie. Chrome Le malware à le droit d’écrire dans son propre espace à l’intérieur de l’espace utilisateur. Mais il ne peut pas écrire dans l’espace de Firefox Chrome qui se situe dans le même espace utilisateur.

Hier à 12h55

fitfat a écrit :

Ok, je reprend :

Je crois que je vais lâcher l’affaire, mais bon je tente une dernière fois :

Prenons un utilisateur. Il n’est pas administrateur sur sa machine. Il exécute le malware avec ses droits d’utilisateur simple, comme il le ferait pour lancer la calculatrice de Windows. Le malware peut donc écrire dans le base de registre de l’utilisateur. Comme n’importe quel programme qu’il utiliserait pour stocker ses préférences, par exemple.
Maintenant, le malware décide d’aller modifier les préférences de Chrome dans ses fichiers de configuration. Ces préférences sont stockés dans le profile utilisateur, pour que Chrome puisse y accéder avec les droits de l’utilisateur qui l’exécute.

Chrome ou malware, les deux programmes sont lancés par le même utilisateur, et toutes les actions du malware se cantonnent à modifier des informations de l’utilisateur, ce qui ne nécessite aucun droit administratif.

Rien n’empêche le programme B d’aller modifier les fichiers du programme A puisque ces fichiers appartiennent sur le système de fichiers au même utilisateur. On ne peut pas dire “ces fichiers sont à l’utilisateur X mais ils ne peuvent être accessibles que par l’application A”.

Hier à 13h16

NeVeS a écrit :

Prenons un utilisateur. Il n’est pas administrateur sur sa machine. Il exécute le malware avec ses droits d’utilisateur simple, comme il le ferait pour lancer la calculatrice de Windows.

Justement, la calculatrice ne s’exécute pas avec les droits de l’utilisateur. De même que le malware ne s’exécute pas avec les droits utilisateurs.

Le malware peut donc écrire dans le base de registre de l’utilisateur. Comme n’importe quel programme qu’il utiliserait pour stocker ses préférences, par exemple.

Oui, mais seulement dans les zones dont il est propriétaire.

Maintenant, le malware décide d’aller modifier les préférences de Chrome dans ses fichiers de configuration. Ces préférences sont stockés dans le profile utilisateur, pour que Chrome puisse y accéder avec les droits de l’utilisateur qui l’exécute.

Mais également dans une zone dont Chrome est propriétaire. Le malware ne peux donc pas y accéder (à moins que Chrome ou un compte accrédité le lui ait donné). Accessoirement, Chrome n’a toujours pas les droits de l’utilisateur.

Chrome ou malware, les deux programmes sont lancés par le même utilisateur, et toutes les actions du malware se cantonnent à modifier des informations de l’utilisateur, ce qui ne nécessite aucun droit administratif.

Sauf qu’il n’a pas le droit. Tous comme Chrome n’a pas le droit de modifier les données d’un logiciel tiers (à moins qu’il y ait été autorisé par le-dit logiciel ou l’utilisateur/administrateur).
Et, effectivement, les droits administratif n’ont rien à voir là-dedans.

Rien n’empêche le programme B d’aller modifier les fichiers du programme A puisque ces fichiers appartiennent sur le système de fichiers au même utilisateur. On ne peut pas dire “ces fichiers sont à l’utilisateur X mais ils ne peuvent être accessibles que par l’application A”.

C’est justement le rôle de l’UAC de contrôler ce qu’il se passe à l’intérieur du compte utilisateur.

Hier à 13h38

Hein ? Mais c’est complètement faux ce que tu racontes ? Ça n’existe pas cette notion de compartimentage d’application sous Windows.

fitfat a écrit :

Justement, la calculatrice ne s’exécute pas avec les droits de l’utilisateur. De même que le malware ne s’exécute pas avec les droits utilisateurs.

La calculatrice s’exécuterait avec quels droits alors ? Les droits sont peut être limités par l’UAC mais ça ne change pas qu’il s’agit toujours du même utilisateur. Les fichiers sur le système de fichiers lui appartiennent toujours. Sinon notepad demanderait à l’utilisateur de s’identifier à chaque fichier qu’il essaye de lire, par exemple.

fitfat a écrit :

Sauf qu’il n’a pas le droit. Tous comme Chrome n’a pas le droit de modifier les données d’un logiciel tiers (à moins qu’il y ait été autorisé par le-dit logiciel ou l’utilisateur/administrateur).

Mais bien sûr que si. Un logiciel lancé par un utilisateur à tous les droits pour modifier n’importe quel fichier appartenant à cet utilisateur (modulo les fichiers lockés par les applications lancées, admettons).
Ouvre notepad avec un fichier dans le dossier Google de %LOCALAPPDATA% tu le verras tout de suite.

Hier à 13h42

atem18 a écrit :

C’est possible. Tu n’as juste pas cherché… " />

Va expliquer à l’utilisateur de ton site que pour que ton service fonctionne bien il doit aller glisser dans sa page “extension” le fichier qu’il va télécharger …

Hier à 13h52

Que de contre vérités…

fitfat a écrit :

Justement, la calculatrice ne s’exécute pas avec les droits de l’utilisateur. De même que le malware ne s’exécute pas avec les droits utilisateurs.

Bien sûr que si, ils s’exécutent évidemment avec les droits de l’utilisateur. C’est logique et pas très compliqué à vérifier : gestionnaire des taches, colonne username. Les applications n’ont évidemment pas leurs propres comptes.

Oui, mais seulement dans les zones dont il est propriétaire.

Mais également dans une zone dont Chrome est propriétaire. Le malware ne peux donc pas y accéder (à moins que Chrome ou un compte accrédité le lui ait donné). Accessoirement, Chrome n’a toujours pas les droits de l’utilisateur.

Sauf qu’il n’a pas le droit. Tous comme Chrome n’a pas le droit de modifier les données d’un logiciel tiers (à moins qu’il y ait été autorisé par le-dit logiciel ou l’utilisateur/administrateur).
Et, effectivement, les droits administratif n’ont rien à voir là-dedans.

C’est drôle mais beaucoup de choses fausses.
Déjà Chrome est une application et n’a pas de compte, il n’est propriétaire d’aucun fichier ou dossier.
De plus la propriété des dossiers n’a rien à voir là dedans. Il faut juste avoir les droits d’écritures dans le dossier, pas besoin d’en être propriétaire. Il se trouve que l’utilisateur est propriétaire de son profil mais peu importe.
Un petit test, tu fais un nouveau fichier test.cmd (qui représente le malware) avec dedans :
echo test > %userprofile%/AppData/Local/Google/Chrome/test.txt
Tu double clic le cmd, le fichier test.txt sera effectivement créé dans le dossier des paramètres de Chrome sans demande d’élévation via l’UAC.

C’est justement le rôle de l’UAC de contrôler ce qu’il se passe à l’intérieur du compte utilisateur.

Non, le rôle de l’UAC c’est de bloquer les élévations de privilèges non autorisés.

Hier à 14h26

Dyblast a écrit :

Va expliquer à l’utilisateur de ton site que pour que ton service fonctionne bien il doit aller glisser dans sa page “extension” le fichier qu’il va télécharger …

Sauf qu’il va te répondre que ce n’est pas son problème. C’est à toi, créateur du service, de lui mâcher le travail.

Hier à 15h15

Shilz a écrit :

comment vous faites ?? faut vraiment etre noob " />

Sachant que 90% des utilisateurs sont des noobs, alors oui on est tous les 2 d’accord.

Hier à 16h15

Dyblast a écrit :

Va expliquer à l’utilisateur de ton site que pour que ton service fonctionne bien il doit aller glisser dans sa page “extension” le fichier qu’il va télécharger …

C’est pas la mort.

Hier à 18h01

atem18 a écrit :

Sauf qu’il va te répondre que ce n’est pas son problème. C’est à toi, créateur du service, de lui mâcher le travail.

Et concrètement je lui mâche comment le travail si je ne veux pas passer par le store?

Hier à 22h43

Dyblast a écrit :

Et concrètement je lui mâche comment le travail si je ne veux pas passer par le store?

Ben… Tu cibles un autre navigateur. C’est pas pour rien que tous le monde crache sur le store de Windows 8, hein…

[MàJ] Chrome 25 bêta : la fin de l’installation silencieuse d’une extension

Il aura fallu attendre la 25e version

Tiens, en parlant de ça :

Windows en 2024 : beaucoup d’IA, mais pas forcément un « 12 »

Technique contre marketing

Informatique quantique, qubits : avez-vous les bases ?

Q-Doliprane sur demande

Surveillance des notifications : un sénateur américain demande la fin du secret

De qui ? Quand ? Comment ?

Sommaire de l'article

Introduction

#LeBrief : cloud européen, OSIRIS-REx a frôlée la catastrophe, CPU AMD Ryzen 8040

Windows en 2024 : beaucoup d’IA, mais pas forcément un « 12 »

Informatique quantique, qubits : avez-vous les bases ?

Surveillance des notifications : un sénateur américain demande la fin du secret

En ligne, les promos foireuses restent d’actualité

#LeBrief : modalité des amendes RGPD, cyberattaque agricole, hallucinations d’Amazon Q, 25 ans d’ISS

Citant des « coûts prohibitifs », Twitch quitte la Corée du Sud

Binance fait son marketing pendant des formations sur la blockchain destinées aux chômeurs

L’empreinte écologique CERN en 2022 : 1 215 GWh, 184 173 teqCO₂, 3 234 Ml…

Voitures électriques : dans la jungle, terrible jungle, des bornes de recharge publiques

#LeBrief : intelligence artificielle à tous les étages, fichier biométrique EURODAC

KDE Plasma 6 a sa première bêta, le tour des nouveautés

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

La CNIL préconise l’utilisation des API pour le partage de données personnelles entre organismes

Orange sanctionnée sur la fibre : l’argumentaire de l’opérateur démonté par l’Arcep

Israël – Hamas : comment l’IA intensifie les attaques contre Gaza

#LeBrief : bande-annonce GTA VI, guerre électronique, Spotify licencie massivement

Le poing Dev – Round 7

Gaia-X « vit toujours » et « arrive à des étapes très concrètes »

Trois consoles portables en quelques semaines

Cyberrésilience : les compromis (provisoires) du trilogue européen

#LeBrief : fuite de tests ADN 23andMe, le milliard pour Android Messages, il y a 30 ans Hubble voyait clair

#Flock a sa propre vision de l’inclusion

Quoi de neuf à la rédac’ #10 : nous contacter et résumé de la semaine

Sans surprise, le Fairphone 5 obtient 10/10 chez iFixit

WhatsApp permet d’envoyer des vocaux à écoute unique

Disparitions mystérieuses sur Drive : Google propose un correctif

IA : AMD annonce la disponibilité des accélérateurs Instinct MI300A et MI300X

Cloud : 1,2 milliard d’euros pour un Projet important d’intérêt européen commun

Échantillons d’OSIRIS-REx : la NASA n’est pas passée loin de la catastrophe…

Ryzen 8040 : AMD lance de nouveaux CPU mobiles (Zen 4, RDNA 3, NPU)

Commentaires (43)