Comment un expert en extensions pour navigateur met en garde contre les risques de piratage
Un expert en extensions pour navigateur vient de montrer qu’il est possible d’en racheter une et de la modifier à l’insu de ses utilisateurs. Avec une simple mise à jour, elle peut être employée à des fins malveillantes ou pour monétiser des profils sans leur consentement.
Comment pirater les données privées de 400 000 utilisateurs en un seul coup ?
En achetant une extension Chrome pour 5 dollars et en modifiant son code. C’est le coup de maître qu’a réalisé récemment John Tuckner, un chercheur spécialisé dans les extensions pour navigateurs.
Dans un post sur son blog, il a expliqué tout le cheminement qui permet à n’importe quel individu de racheter une extension à son éditeur et de la modifier pour pouvoir prendre la main sur les données personnelles des utilisateurs de celle-ci. John Tuckner explique qu’il a réalisé ces manipulations pour prévenir le public que n’importe quelle extension utile et louable, peut se transformer discrètement en un dangereux logiciel espion.
De nombreux éditeurs cherchent à revendre leur extension lorsque le nombre d’utilisateurs dépasse un seuil critique et qu’ils ne parviennent plus à assurer la maintenance de celle-ci. Dès que les moyens financiers viennent à manquer pour l’entretenir, le réflexe consiste généralement à se tourner vers une des places de marché pour extensions afin de la revendre.
John Tuckner s’est justement rendu sur une de ces plateformes. Il s’agissait d’extensionhub.io. Il a alors recherché une extension bon marché et en a acheté une permettant de bloquer l’accès aux sites Web un certain temps afin que l’utilisateur puisse rester concentré sur ses travaux. Le coût était de 50 dollars. La transaction n’a pas fonctionné avec le propriétaire situé en Inde, mais ce dernier lui a quand même cédé.
Il a fallu ensuite régler 5 dollars à Google pour régler les frais de changement de propriétaire dans le Chrome Web Store. Il s’agit juste de modifier le nom et de changer l’adresse mail de contact. Du côté des utilisateurs, rien n’a changé et l’extension est restée active. À partir de ce moment, pour seulement 5 dollars, le nouveau propriétaire avait le contrôle total de l’extension et pouvait diffuser les mises à jour du code aux utilisateurs. Car c’est bien là que le bât blesse.
Grosse faille chez Google
Par défaut, les mises à jour des extensions de navigateur se produisent automatiquement et sans prévenir l’utilisateur. Ce dernier n’est averti que si de nouvelles autorisations sont demandées par l’extension. C’est exactement de cette façon que de nombreux nouveaux propriétaires profitent de cette opportunité pour déployer des méthodes de monétisation en collectant les données des utilisateurs, voire pire.
C’est ainsi qu’un bloqueur de publicités peut très bien être détourné pour suivre le comportement de navigation de l’utilisateur, par exemple. Lors de son expérimentation, après une discrète mise à jour auprès des utilisateurs, John Tuckner s’est contenté de rediriger le trafic de sa nouvelle extension vers le mythique clip musical Never Gonna Give You Up de Rick Astley.
Il aurait très bien pu utiliser le même procédé pour profiler le trafic Web de l’utilisateur ou bien créer une opération de phishing. Autrement dit, cette expérience montre clairement qu’il n’y a pas besoin de faire beaucoup d’efforts pour une personne mal intentionnée afin de monétiser une extension via la collecte de données privées sur le dos des utilisateurs.
C’est d’autant plus aisé qu’il n’y a aucune contrainte, ni blocage de la part de Google. Il semble d’ailleurs que les vérifications soient réalisées lors de la première publication sur le Chrome Web Store, mais pas lorsqu’une extension est transmise à un autre propriétaire.
