Des milliers d’extensions Chrome, disponibles sur la boutique de Google, sont en mesure de dérober les mots de passe des internautes. D’après une étude, ces extensions sont capables d’extraire des données sensibles depuis le code source de certains sites. Alerté par les chercheurs, Google estime qu’il n’y a pas de faille de sécurité dans le fonctionnement des extensions…
Des chercheurs de l’Université du Wisconsin-Madison (États-Unis) ont découvert qu’il est très facile pour des extensions Google Chrome de dérober des mots de passe à partir du code source d’un site Web. L’étude, relayée par nos confrères de Bleeping Computer, révèle que la manière dont fonctionnent les extensions peut permettre à un attaquant d’extraire des informations sensibles à partir d’un site. Les extensions, décrites comme des « petites applications qui améliorent les capacités des navigateurs Web », doivent accéder au « contenu des pages web » pour fonctionner.
Les chercheurs soulignent qu’une grande partie des sites web font malgré tout l’erreur de stocker des mots de passe, sous forme lisible, sans la moindre forme de chiffrage, directement dans le code HTML de leurs pages. Si un hacker accède au code, par le biais d’une extension, il pourra lire les mots de passe directement, sans avoir besoin de les déchiffrer. C’est évidemment une catastrophe en matière de sécurité informatique.
À lire aussi : Google Chrome pourrait bientôt simplifier le partage de vos mots de passe
Comment une extension Chrome peut siphonner des mots de passe ?
Aux origines de la faille, on trouve l’arborescence DOM (Document Object Model) des sites web. Les extensions Chrome peuvent se connecter sans la moindre restriction à cette représentation structurée d’un document HTML, qui aide les développeurs à modifier le contenu et la structure en temps réel. L’extension obtient alors un accès illimité à des données potentiellement sensibles. Concrètement, une extension malveillante peut aspirer les données entrées par un internaute, comme des identifiants et des mots de passe.
« Nous constatons que l’absence de frontière de sécurité entre l’extension du navigateur et la page Web entraîne de nouvelles vulnérabilités », regrettent les chercheurs.
Pour prouver leurs dires, les chercheurs américains ont mis au point une extension Chrome malveillante, conçue pour siphonner les mots de passe des internautes. Cette extension, déguisée en assistant virtuel animé par ChatGPT, a été soumise sur le Chrome Web Store, la boutique d’extensions de Google. La solution a été programmée pour échapper aux mesures de sécurité du géant de Mountain View. Une fois installée, elle peut parcourir le code HTML des sites consultés et piocher dans les données fournies par l’utilisateur.
Notez d’ailleurs qu’il n’est pas rare que des extensions malveillantes parviennent à se faufiler sur le Chrome Web Store. Cet été, un chercheur du nom de Vladimir Palant a identifié 34 extensions Chrome dangereuses sur la boutique. Avant leur exclusion, elles totalisaient plus de 87 millions de téléchargements.
Plus de 17 000 extensions peuvent accéder à vos mots de passe
L’étude indique d’ailleurs que 17 300 extensions dans le Chrome Web Store, soit 12,5 % du total de la plateforme, disposent des autorisations nécessaires pour consulter le code HTML des sites web. C’est pourquoi la brèche épinglée par les experts de l’Université du Wisconsin-Madison s’avère particulièrement préoccupante.
Avec leur extension maison, les chercheurs se sont attaqués à 10 000 sites web. Plus de 1000 sites stockaient effectivement des mots de passe dans leur code source. Par ailleurs, 7 300 sites ont été jugés vulnérables à une attaque par extraction des données. Des sites très populaires, comme Gmail, Amazon, Cloudflare ou Facebook, sont concernés. Selon l’étude, il est possible que la faille soit déjà activement exploitée par 190 extensions différentes.
La réponse de Google
Les chercheurs assurent qu’il est « urgent d’améliorer les mesures de sécurité pour protéger les informations sensibles des utilisateurs en ligne ». L’étude propose aux développeurs de sites web de mettre en place des précautions pour bloquer l’accès aux « champs de saisie sensibles ». Le rapport recommande par ailleurs au navigateur web « d’alerter les utilisateurs lorsqu’une extension accède à des champs de saisie sensibles ».
Contacté par Bleeping Computer, Google estime de son côté qu’il n’y a pas de problème de sécurité. La firme affirme qu’il ne s’agit pas d’une faille tant que les extensions qui accèdent au code source des sites ont obtenu les autorisations prévues. Sur son site web officiel, Google rappelle que certaines « extensions sont conçues pour avoir accès aux données des utilisateurs », une fois que les autorisations appropriées ont été accordées. Cet accès est bien souvent « essentiel à la fonctionnalité » des extensions, souligne Google.
Source :
Bleeping Computer