Vérifiez les extensions Google Chrome avant de les installer

• Catégorie: Google Chrome

Essayez Notre Instrument Pour Éliminer Les Problèmes

Sélectionnez Le Système D'Exploitation Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Choisissez Un Programme De Projection (Éventuellement) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Décrivez Votre Problème

Obtenez Une Réponse

Envoyez-Moi Par E-Mail Montrer Sur Le Site

Les extensions Google Chrome peuvent étendre les fonctionnalités du navigateur Web ou vous simplifier la vie lors de la navigation sur le Web. Bien que ce soit le cas, les entreprises peuvent également en abuser pour suivre les utilisateurs sur Internet, afficher des publicités ou télécharger du code malveillant sur le système de l'utilisateur.

Cet article vous permet de vérifier les extensions Chrome avant de les installer. Il est important de le faire avant que l'extension ne soit installée dans le navigateur car il est peut-être déjà trop tard après l'installation.

Bien que vous puissiez configurer un environnement de test pour les extensions de navigateur, par exemple dans un bac à sable et avec un moniteur de trafic réseau comme Wireshark, il se peut que la plupart des utilisateurs ne se sentent pas à l'aise.

Partie 0: Ce à quoi vous ne devriez pas faire confiance

Le Chrome Web Store peut apparaître comme un emplacement sécurisé pour tous vos besoins d'extension, mais ce n'est pas le cas. Google utilise des contrôles automatisés qui analysent les extensions que les développeurs téléchargent dans le magasin. Ces contrôles attrapent certaines mais pas toutes les formes de fonctions intrusives ou carrément malveillantes.

Trend Micro découvert par exemple les extensions de navigateur malveillantes dans le Web Store officiel en 2014, et ce n'est pas la seule entreprise qui l'a fait.

Une méthode courante utilisée par les extensions pour réussir tous les contrôles de sécurité consiste à inclure un script qui chargera la charge malveillante.

L'extension elle-même ne la contient pas lorsqu'elle est soumise au Chrome Web Store. Ainsi, l'extension réussit le contrôle et est ajoutée au magasin où tous les utilisateurs de Chrome peuvent la télécharger.

Si vous êtes intéressé par un mauvais exemple récent, consultez le malware dans le navigateur article de Maxime Kjear.

La description est créée par le développeur de l'extension et ne doit donc pas être approuvée sans vérification.

Les commentaires des utilisateurs peuvent mettre en évidence des extensions problématiques, mais ce n'est pas toujours le cas. Par conséquent, il ne faut pas non plus leur faire confiance à cet égard sans vérification.

Dernier point mais non le moindre, vous ne devez pas faire confiance aveuglément aux recommandations ou aux offres d'installation d'une extension parce qu'elle est nécessaire pour quelque chose ou vous est annoncée.

Partie 1: La description

De nombreuses extensions qui utilisent l'analyse, le suivi des clics, le suivi de votre historique de navigation et d'autres formulaires de suivi mettent en évidence le fait dans la description de l'extension.

Vous ne verrez peut-être pas ce premier coup d'œil car Google privilégie le style à la substance dans le magasin. Le champ de description est minuscule et vous devez souvent faire défiler pour tout lire.

Découvrez les populaires Capture d'écran impressionnante extension par exemple. Ça a l'air légitime, non? Beaucoup d'avis positifs, plus de 580 000 utilisateurs.

Si vous prenez le temps et faites défiler la description, vous finirez par tomber sur le passage suivant:

L'utilisation de l'extension de navigateur Awesome Screenshot nécessite de lui accorder l'autorisation de capturer des données de flux de clics anonymisées.

Vous voulez un autre exemple? Que diriez-vous de Hover Zoom, une extension avec plus de 1,2 million d'utilisateurs qui a été critiquée dans le passé pour son intégration de suivi? Faites défiler vers le bas et vous trouvez ..

Hover Zoom exige que les utilisateurs de l'extension accordent à Hover Zoom l'autorisation de collecter l'activité de navigation à utiliser en interne et à partager avec des tiers, le tout pour une utilisation anonyme et agrégée à des fins de recherche

Flash Player + est une autre extension qui souligne dans sa description qu'elle enregistre des données et partage ces données avec des tiers.

Afin de soutenir et d'améliorer en permanence ce logiciel, les utilisateurs qui l'installent permettent à Fairshare de collecter et de partager des informations les concernant et leur activité d'utilisation du Web avec des tiers à des fins commerciales et de recherche.

Un moyen rapide de trouver ces extensions consiste à rechercher des expressions utilisées dans ces descriptions. Une recherche de désactivation, par exemple, en révèle beaucoup dans les résultats de recherche (à côté des extensions légitimes). Beaucoup utilisent la même description, ce qui signifie qu'une recherche sur «pour collecter et partager des informations à leur sujet» révélera des extensions qui utilisent ce type de suivi par exemple.

Partie 2: Information directe

Les informations suivantes sont affichées sur la page de profil des extensions sur le Chrome Web Store:

L'entreprise ou l'individu qui l'a créé / propose.
Une note globale et le nombre d'utilisateurs qui l'ont notée.
Le nombre total d'utilisateurs.
La dernière date de mise à jour.
La version.
Les informations vous donnent des indices mais elles ne sont pas suffisantes pour juger d'une extension. Beaucoup peuvent être falsifiés ou gonflés artificiellement par exemple.

Google ne parvient pas à fournir un lien vers toutes les extensions d'une entreprise ou d'un individu, et il n'y a aucune option pour obtenir la validation.

Bien que vous puissiez utiliser la recherche pour trouver d'autres extensions par une entreprise ou un individu, il n'y a aucune garantie que les résultats les répertorient toutes.

Partie 3: Autorisations

Il n'est généralement pas possible de déterminer si une extension est légitime, vous traque ou carrément malveillante en fonction des autorisations qu'elle demande uniquement.

Il existe cependant des indicateurs de cela. Par exemple, si une extension qui améliore Facebook demande de `` lire et modifier toutes vos données sur les sites Web que vous visitez '', vous pouvez en venir à la conclusion qu'il vaut mieux ne pas installer l'extension sur cette base. Comme il ne devrait fonctionner que sur Facebook, il n'est pas nécessaire de lui donner des autorisations étendues pour voir et manipuler les données sur tous les sites.

Ce n'est qu'un indicateur cependant, mais si vous utilisez le bon sens, vous pourrez peut-être éviter d'installer des extensions problématiques. Habituellement, il existe une alternative disponible qui offre des fonctionnalités similaires mais sans les demandes d'autorisation de grande envergure.

Vous pouvez également vérifier ces autorisations pour toutes les extensions installées. Chargez chrome: // extensions / et cliquez sur le lien des détails sous chaque extension. Cela affiche à nouveau toutes les demandes d'autorisation de cette extension sous forme de fenêtre contextuelle dans le navigateur.

Partie 4: La politique de confidentialité

À condition que l'extension soit liée à une page de politique de confidentialité, vous pouvez y trouver des informations indiquant si les utilisateurs sont suivis ou non. Cela ne fonctionnera pas inconsciemment pour les extensions malveillantes.

Par exemple, si vous consultez la politique de confidentialité de Fairshare liée à des extensions telles que Hover Zoom, vous y trouverez le passage suivant:

La Société peut utiliser des cookies de navigateur, des données de stockage Web et DOM, des cookies Adobe Flash, des pixels, des balises et d'autres technologies de suivi et de collecte de données, qui peuvent inclure un identifiant unique anonyme.

Ces technologies peuvent être utilisées pour collecter et stocker des informations sur votre utilisation des Services, y compris, sans limitation, les pages Web, les fonctionnalités et le contenu auxquels vous avez accédé, les requêtes de recherche que vous avez exécutées, les informations d'URL de référence, les liens sur lesquels vous avez cliqué et les publicités sur lesquelles vous avez accédé. ont vu.

Ces données sont utilisées à des fins commerciales telles que la fourniture d'annonces et de contenus plus pertinents, et des études de marché

Partie 5: Le code source

Parcourir le code source peut être la meilleure option pour savoir si une extension vous suit ou est malveillante.

Cela peut ne pas être aussi technique que cela puisse paraître et il est souvent possible de le déterminer avec des compétences rudimentaires en HTML et JavaScript.

La première chose dont vous avez besoin est une extension qui vous permet de récupérer le code source d'une extension sans l'installer. Lecteur de source d'extension Chrome est une extension open source pour Chrome qui vous aide avec cela.

Une alternative à cela consiste à exécuter Chrome dans un environnement en bac à sable, à y installer des extensions pour accéder à leurs fichiers.

Si vous utilisez la visionneuse de source d'extension, vous pouvez cliquer sur l'icône crx dans la barre d'adresse du Chrome's Web Store pour télécharger l'extension sous forme de fichier zip ou afficher immédiatement sa source dans le navigateur.

Vous pouvez ignorer immédiatement tous les fichiers .css et images. Les fichiers que vous devriez examiner de plus près ont généralement l'extension .js ou .json.

Vous pouvez d'abord vérifier le fichier manifest.json et vérifier la valeur content_security_policy pour y voir une liste de domaines, mais ce n'est généralement pas suffisant.

Certaines extensions utilisent des noms évidents pour suivre les fichiers, les publicités par exemple afin que vous souhaitiez peut-être commencer par là.

Vous ne pourrez peut-être pas dire si vous ne connaissez pas JavaScript, mais si ce n'est pas le cas.

Maintenant, c'est à votre tour : Exécutez-vous des extensions Chrome? Les avez-vous vérifiés avant l'installation?