Les extensions de navigateur sont pratiques, mais peut-on leur faire confiance ? Deux chercheurs en sécurité de la société Detectify ont analysé des extensions pour Chrome et ont constaté qu’un certain nombre d’entre elles collectent en douce tout un tas d’informations sensibles, comme l’historique de navigation, les cookies ou les tokens d’authentification.
Et ces informations sont ensuite partagées avec des sociétés tierces contre rémunération. Un peu comme les trackers de publicité, sauf que là, c’est impossible à bloquer. Les logiciels tels que Ghostery ou Disconnect ne peuvent pas agir contre ce type d’espionnage.
Ces extensions peuvent également récupérer les URL de partage qui permettent à plusieurs personnes d’accéder à des ressources privées dans le cloud. Par exemple un fichier sur DropBox ou Google Drive. Mais il a encore mieux.
Certaines téléchargent des scripts après installation, ce qui leur permet de contourner les éventuels contrôles avant publication sur le Google Chrome Web Store. Dans leur note de blog, les chercheurs donnent quelques exemples d’extensions-espions : HooverZoom, Superblock Adblocker, SafeBrowse, Emoji Input, ProxFlow, etc.
Pour éviter de se faire avoir, il est conseillé de vérifier les autorisations d’accès de vos extensions. Pour cela, il suffit d’aller sur le page « chrome://extensions » et d’aller sur les liens « Détails » de chaque extension. En cas de doute, il vaut mieux désinstaller le logiciel.