Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Quand des extensions, navigateurs et applications « jouent » avec vos données personnelles

Quand des extensions, navigateurs et applications « jouent » avec vos données personnelles

Le 21 août 2018 à 10h20

Fin juillet, AdGuard publiait un billet de blog affirmant que plus de 11 millions de personnes seraient victimes d'un spyware développés par Big Star Labs, une société enregistrée au Delaware.

Les extensions Block Site, Poper Blocker, CrxMouse, ainsi que les applications Speed BOOSTER, Battery Saver ou encore Adblock Prime récupéreraient ainsi des données personnelles.

De son côté, le blogueur allemand Mike Kuketz pointe du doigt l'extension Firefox « Web Security » installée début août par plus de 200 000 utilisateurs et récupérant leur historique de navigation.

Problème : elle était recommandée début août par Mozilla, avant d'être supprimée discrètement de son billet de blog. Désormais, cette extension n'est plus disponible car elle a été « désactivée par un administrateur ».

Comme le détaille Ghacks.net, ce n'est pas la seule dans ce cas : Mozilla a fait du ménage et 23 extensions trop bavardes et/ou curieuses ont ainsi été bloquées.

Parfois, ce sont les navigateurs eux-mêmes qui sont directement en cause. Une équipe de chercheurs belge de l'université de KU Leuven se demande ainsi : « Qui a laissé ouvert le pot de cookies ? ».

Ils ont en effet découvert des vulnérabilités plus ou moins graves dans la gestion des cookies, aussi bien sur Opera, Edge, Chrome que Firefox. Tous les détails techniques se trouvent dans cette publication.

Bref, réfléchissez-y à deux fois avant d'installer une extension et pensez à vérifier les accès qu'elle exige.

Le 21 août 2018 à 10h20

Commentaires (8)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar



Bref, réfléchissez-y à deux fois avant d’installer une extension et pensez à vérifier les accès qu’elle exige.





Est-ce que c’est possible de le vérifier sans analyser le code de l’extension?

votre avatar

En installant une extension WebExtension, du moins pour Firefox, on est averti de ce que cette extension réclame. Libre à nous de l’installer ou pas. Bien sûr, cela n’est qu’un indicateur, généralement juste.



Avec les anciens Firefox, une extension avait droit à tout, sans possibilité de limiter.

votre avatar

Merci pour l’info ! <img data-src=" />

votre avatar







Platinüm a écrit :



Est-ce que c’est possible de le vérifier sans analyser le code de l’extension?









Gilbert_Gosseyn a écrit :



En installant une extension WebExtension, du moins pour Firefox, on est averti de ce que cette extension réclame. Libre à nous de l’installer ou pas. Bien sûr, cela n’est qu’un indicateur, généralement juste.



Avec les anciens Firefox, une extension avait droit à tout, sans possibilité de limiter.







Euh… non.



Prenons STYLISH par exemple, un addon pour appliquer des CSS persos sur des sites Internet (virer les fonds blancs, etc.). Il a eu droit à sa news :

nextinpact.com Next INpact



STYLUS est la réponse de la communauté pour cela.



Sauf que si l’on compare la section “Permissions” des pages web des deux extensions sur le site officiel de Mozilla, ils disent tous les deux la même chose :





  • Access your data for all websites

  • Access browser tabs

  • Access browser activity during navigation



    Pourtant l’un est dangereux, l’autre pas.



    Faire des recherches sur le net sur les extensions en question peut parfois donner des résultats mais sinon, à part analyser le code source, il n’est pas possible d’être sûr.


votre avatar

Certaines extensions disposent de droit beaucoup trop élevé sans pouvoir bloquer certains droits. Il serait intéressant de savoir également si l’extension ouvre une connexion ! Et ça c’est visible dans le code source mais facile à cacher !

votre avatar

“Access your data for all websites”

Rien ne te met la puce à l’oreille concernant un danger ? <img data-src=" />



C’est comme une application torche qui demande un accès INternet, c’est suspicieux.

votre avatar

Gné ? 




On parle d'un outil qui permet d'appliquer un CSS différent sur des sites internet, donc il a forcément BESOIN d'avoir l'accès au site.   







uBlock Origin est aussi concerné par ce besoin. Comment pourrait-il bloquer des publicités s'il ne peut pas lire le code/données des sites ?   







Après il est vrai que la terminologie employée est inquiétante, et c'est voulu. Ce qui a causé des polémiques :


https://blog.mozilla.org/addons/2018/02/01/understanding-extension-permission-re…&nbsp;





There is one permission in particular, “Access your data for all websites”, that we’ve gotten many questions about since the feature launched. The reason why it’s worded this way is because a web page can contain virtually anything, and some extensions need to read everything on it in order to perform an action based on what the page contains.

&nbsp; 



For example, an ad blocker needs to read all web page content to  identify and remove ad code. A password manager needs to detect and  write to username and password fields. A shopping extension might need  to read details of the products you’re searching for.


&nbsp; 



Since these types of extensions wouldn’t know whether any particular  web page contains the bit it needs to modify until it’s loaded, and  neither does Firefox, it needs access to everything on a page so it can  look for and modify the appropriate parts. This means that in theory,  while rare, a malicious developer could tell you their extension does  one thing while it actually does something else.


&nbsp;

votre avatar

Du coup tu as plus que raison, on ne peut pas savoir ce qu’ils foutent sans accès au source.

Et ce n’est pas rassurant, car le jour où ils sont piratés, personne ne le verra.

Quand des extensions, navigateurs et applications « jouent » avec vos données personnelles

Fermer