Des extensions Chrome auraient récupéré les données personnelles de millions d'utilisateurs

17 février 2020 à 11h41
3
Google Application
© Tero Vesalainen / Shutterstock.com

L'enseigne Duo Security a annoncé jeudi 13 février avoir fait remonter à Google l'activité de dizaines d'extensions Chrome qui ne respecteraient pas la collecte de données personnelles sur le navigateur Chrome.

Selon Duo Security, les fraudes détectées auraient affecté « des millions d'utilisateurs ».


De la publicité pour collecter les données

Sur son site, Duo Security affirme avoir été contacté par la chercheuse en cybersécurité Jamila Kaya. Celle-ci a identifié des dizaines d'extensions Chrome reposant sur de la publicité en ligne. Si elles fonctionnent, a priori, de manière légitime, elles auraient en réalité collecté les données personnelles de leurs utilisateurs sans leur consentement.

Les extensions concernées font partie d'un réseau d'applications fonctionnant toutes sur le même schéma. Le site précise : « Jamila a découvert qu'ils faisaient partie d'un réseau de plug-in copycat, [ c'est-à-dire ] partageant des fonctionnalités presque identiques. Grâce à notre collaboration, nous avons pu saisir les quelques dizaines d'extensions et utiliser CRXcavator.io pour identifier 70 extensions concernant 1,7 million d'utilisateurs, et faire remonter ces préoccupations à Google ».


Plus de 500 extensions retirées du Web Store

Le géant américain à l'origine de Chrome a alors affirmé avoir « relevé les empreintes digitales » des applications. L'entreprise les a ensuite utilisées pour détecter et supprimer plus de 500 extensions sur l'ensemble du Web Store. Un porte-parole de Google a déclaré que « nous apprécions le travail de la communauté des chercheurs et lorsque nous sommes alertés des extensions du Web Store qui violent nos politiques, nous prenons des mesures et utilisons ces incidents comme matériel de formation pour améliorer nos analyses automatisées et manuelles ».

Selon Jamila Kaya et Duo Security, la technique du « malvertising », qui consiste à masquer une activité illégale derrière de la publicité en ligne, est de plus en plus répandue. Le logiciel CRXcavator de Duo Security, disponible gratuitement depuis maintenant un an, doit aider à la détection de ces logiciels.

Source : Duo Security
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
3
4
Popoulo
La marmotte, chocolat toussa toussa. Je doute qu’il y en ait un plus blanc que l’autre.<br /> Pour ceux que ça intéresse plus en détail, faites un tour sur le site de Duo Security (lien source) vous y trouverez tous les détails.<br /> Et pour ceux qui veulent test leurs extensions, rendez-vous sur https://crxcavator.io/ (un petit lien dans l’article serait top).
mcbenny
Google : "C’est vrai, quoi ! C’est quoi tous ces gens qui volent des données qui nous appart… oups qui VOUS appartiennent ?!
Voir tous les messages sur le forum

Actualités du moment

Rocket Lab enverra un satellite vers la lune dans le cadre du programme Artemis
Une démo de gameplay de StarCraft: Ghost, le TPS annulé de Blizzard, fuite sur YouTube
Au tour de Tom Holland et de Robert Downey Jr. de faire l'objet d'un deepfake
Maddy Keynote :
Apple retire discrètement le serveur web Zoom caché via une mise à jour sur Mac
Black Friday Amazon : Microsoft Surface Pro 7 à 799€ au lieu de 1069€
Comment régler les couleurs de son écran PC ?
4 techniques simples pour nettoyer son PC
Alimentation de 850 W pour le multi-GPU chez Corsair
Haut de page