Dans quelle mesure le Chrome Web Store est-il sûr de toute façon ?

Dans quelle mesure le Chrome Web Store est-il sûr de toute façon ?

Environ 33% de tous les utilisateurs de Chromium ont installé une sorte de plugin de navigateur. Plutôt que d'être une technologie de pointe utilisée exclusivement par les utilisateurs expérimentés, les modules complémentaires sont positivement courants, la majorité provenant du Chrome Web Store et du Firefox Add-Ons Marketplace.





Mais à quel point sont-ils en sécurité ?



D'après les recherches doit être présenté au Symposium IEEE sur la sécurité et la confidentialité, la réponse est pas très . L'étude financée par Google a révélé que des dizaines de millions d'utilisateurs de Chrome ont installé une variété de logiciels malveillants basés sur des modules complémentaires, ce qui représente 5% du trafic total de Google.





La recherche a abouti à la suppression de près de 200 plugins du Chrome App Store et a remis en question la sécurité globale du marché.

Alors, que fait Google pour assurer notre sécurité et comment pouvez-vous repérer un module complémentaire malveillant ? J'ai découvert.



D'où viennent les modules complémentaires

Appelez-les comme vous voulez - extensions de navigateur, plugins ou modules complémentaires - ils viennent tous du même endroit. Des développeurs tiers indépendants produisant des produits qui, selon eux, répondent à un besoin ou résolvent un problème.

Les modules complémentaires de navigateur sont généralement écrits à l'aide de technologies Web, telles que HTML, CSS et JavaScript, et sont généralement conçus pour un navigateur spécifique, bien qu'il existe certains services tiers qui facilitent la création de plug-ins de navigateur multiplateformes.



Une fois qu'un plugin a atteint un niveau d'achèvement et est testé, il est ensuite publié. Il est possible de distribuer un plugin indépendamment, bien que la grande majorité des développeurs choisissent plutôt de les distribuer via les magasins d'extensions Mozilla, Google et Microsoft.

Bien qu'avant de toucher l'ordinateur d'un utilisateur, il doit être testé pour s'assurer qu'il est sûr à utiliser. Voici comment cela fonctionne sur l'App Store de Google Chrome.



Assurer la sécurité de Chrome

De la soumission d'une extension à sa publication éventuelle, il y a 60 minutes d'attente. Que se passe t-il ici? Eh bien, dans les coulisses, Google s'assure que le plugin ne contient aucune logique malveillante, ou quoi que ce soit qui pourrait compromettre la confidentialité ou la sécurité des utilisateurs.

Ce processus est connu sous le nom de « validation améliorée des éléments » (IEV) et consiste en une série de contrôles rigoureux qui examinent le code d'un plug-in et son comportement lorsqu'il est installé, afin d'identifier les logiciels malveillants.

Google a également publié un « guide de style » qui indique aux développeurs quels comportements sont autorisés et décourage expressément les autres. Par exemple, il est interdit d'utiliser du JavaScript en ligne - du JavaScript qui n'est pas stocké dans un fichier séparé - afin d'atténuer le risque d'attaques de scripts intersites .

Google déconseille également fortement l'utilisation de « eval », qui est une construction de programmation qui permet au code d'exécuter du code et peut introduire toutes sortes de risques de sécurité. Ils ne sont pas non plus très friands des plugins se connectant à des services distants non Google, car cela présente le risque d'une attaque Man-In-The-Middle (MITM).

Ce sont des étapes simples, mais pour la plupart efficaces pour assurer la sécurité des utilisateurs. Javvad Malik , Security Advocate chez Alienware, pense que c'est un pas dans la bonne direction, mais note que le plus grand défi pour assurer la sécurité des utilisateurs est une question d'éducation.

« Faire la distinction entre un bon et un mauvais logiciel devient de plus en plus difficile. Pour paraphraser, un logiciel légitime d'un autre est un virus malveillant voleur d'identité et compromettant la confidentialité codé dans les entrailles de l'enfer. n'ont jamais été rendus publics pour commencer. Mais le défi à l'avenir pour des entreprises comme Google est de contrôler les extensions et de définir les limites de ce qui est un comportement acceptable. Une conversation qui s'étend au-delà d'une sécurité ou d'une technologie et d'une question pour la société des utilisateurs d'Internet dans son ensemble.'

Google vise à s'assurer que les utilisateurs sont informés des risques associés à l'installation de plug-ins de navigateur. Chaque extension sur l'App Store de Google Chrome est explicite sur les autorisations requises et ne peut pas dépasser les autorisations que vous lui accordez. Si une extension demande de faire des choses qui semblent inhabituelles, vous avez alors des raisons de vous méfier.

Mais parfois, comme nous le savons tous, des logiciels malveillants s'infiltrent.

comment mettre une vidéo en fond d'écran

Quand Google se trompe

Google, étonnamment, garde un navire assez serré. Peu de choses échappent à leur montre, du moins en ce qui concerne le Google Chrome Web Store. Quand quelque chose le fait, cependant, c'est mauvais.

  • AjouteràFeedly était un plugin Chrome qui permettait aux utilisateurs d'ajouter un site Web à leurs abonnements au lecteur RSS Feedly. Il a commencé sa vie comme un produit légitime publié par un développeur amateur , mais a été acheté pour une somme à quatre chiffres en 2014. Les nouveaux propriétaires ont ensuite associé le plugin au logiciel publicitaire SuperFish, qui a injecté de la publicité dans les pages et généré des pop-ups. SuperFish a gagné en notoriété plus tôt cette année lorsqu'il est apparu que Lenovo l'avait livré avec tous ses ordinateurs portables Windows bas de gamme.
  • Capture d'écran de la page Web permet aux utilisateurs de capturer une image de l'intégralité d'une page Web qu'ils visitent, et a été installé sur plus d'un million d'ordinateurs. Cependant, il a également transmis des informations sur les utilisateurs à une seule adresse IP aux États-Unis. Les propriétaires de WebPage Screenshot ont nié tout acte répréhensible et insistent sur le fait que cela faisait partie de leurs pratiques d'assurance qualité. Google l'a depuis supprimé du Chrome Web Store.
  • Ajouter à Google Chrome était une extension malveillante qui des comptes Facebook piratés , et partagé des statuts, des publications et des photos non autorisés. Le malware s'est propagé via un site qui imitait YouTube et a demandé aux utilisateurs d'installer le plugin afin de regarder des vidéos. Google a depuis supprimé le plugin.

Étant donné que la plupart des gens utilisent Chrome pour faire la grande majorité de leur informatique, il est troublant que ces plugins aient réussi à passer à travers les mailles du filet. Mais au moins il y avait un procédure échouer. Lorsque vous installez des extensions d'ailleurs, vous n'êtes pas protégé.

Tout comme les utilisateurs d'Android peuvent installer n'importe quelle application, Google vous permet d'installer n'importe quelle extension Chrome de votre choix , y compris celles qui ne proviennent pas du Chrome Web Store. Il ne s'agit pas seulement de donner aux consommateurs un peu plus de choix, mais plutôt de permettre aux développeurs de tester le code sur lequel ils ont travaillé avant de l'envoyer pour approbation.

Cependant, il est important de se rappeler que toute extension installée manuellement n'a pas été soumise aux procédures de test rigoureuses de Google et peut contenir toutes sortes de comportements indésirables.

À quel point êtes-vous à risque ?

En 2014, Google a dépassé Internet Explorer de Microsoft en tant que navigateur Web dominant et représente désormais près de 35 % des internautes. En conséquence, pour quiconque cherche à gagner de l'argent rapidement ou à distribuer des logiciels malveillants, cela reste une cible tentante.

Google, pour la plupart, a été en mesure de faire face. Il y a eu des incidents, mais ils ont été isolés. Lorsque les logiciels malveillants ont réussi à s'infiltrer, ils les ont traités rapidement et avec le professionnalisme que vous attendez de Google.

Cependant, il est clair que les extensions et les plugins sont un vecteur d'attaque potentiel. Si vous prévoyez de faire quelque chose de sensible, comme vous connecter à votre banque en ligne, vous voudrez peut-être le faire dans un navigateur séparé sans plug-in ou dans une fenêtre de navigation privée. Et si vous avez l'une des extensions répertoriées ci-dessus, tapez chrome://extensions/ dans votre barre d'adresse Chrome, puis recherchez-les et supprimez-les, par sécurité.

Avez-vous déjà installé accidentellement des logiciels malveillants Chrome ? Vivre pour raconter l'histoire ? Je veux en entendre parler. Laissez-moi un commentaire ci-dessous, et nous discuterons.

Crédits image : Marteau sur verre brisé Via Shutterstock

Partager Partager Tweeter E-mail Dark Web vs Deep Web : quelle est la différence ?

Le dark web et le deep web sont souvent pris pour une seule et même chose. Mais ce n'est pas le cas, alors quelle est la différence ?

Lire la suite Rubriques connexes
  • Navigateurs
  • Sécurité
  • Google Chrome
  • Sécurité en ligne
A propos de l'auteur Matthieu Hugues(386 articles publiés)

Matthew Hughes est un développeur et écrivain de logiciels de Liverpool, en Angleterre. Il est rarement trouvé sans une tasse de café noir fort à la main et adore absolument son Macbook Pro et son appareil photo. Vous pouvez lire son blog sur http://www.matthewhughes.co.uk et le suivre sur Twitter à @matthewhughes.

Plus de Matthew Hughes

Abonnez-vous à notre newsletter

Rejoignez notre newsletter pour des conseils techniques, des critiques, des ebooks gratuits et des offres exclusives !

Cliquez ici pour vous abonner