A peine cette extension installée qu’elle vous parait être déjà votre meilleure alliée, et pourtant l’instant d’après elle s’est transformée en un véritable désastre en matière de protection de la vie privée, s’immisçant au sein de votre navigation internet de la manière la plus intime possible.
Les concepteurs de navigateurs devraient être au courant de ce phénomène et pourtant, nous signalons ici le dernier exemple en date, cette fois repéré par l’ingénieur logiciel Robert Heaton.
Il utilisait une extension Chrome et Firefox appelée Stylish depuis des années pour redéfinir les sites web et cacher leurs “parties divertissantes” telles que les flux Facebook et Twitter (les versions Safari et Opera sont également disponibles).
Plutôt utile car elle :
Ajoutait des images manga à tout ce qui n’était pas une image manga.
Pas difficile de comprendre pourquoi Heaton ainsi que deux millions d’autres utilisateurs pourraient avoir envie de l’utiliser.
À son insu, cependant, en Janvier 2017, l’extension a été vendue à de nouveaux propriétaires, SimilarWeb, qui a changé sa politique de confidentialité, ainsi que les perspectives.
Son attention a été sollicitée lorsqu’il a remarqué que Stylish avait commencé à envoyer des données offusquées à son site web dans le cadre d’une sorte de collecte de données.
Effectivement, après plus de recherches :
Quand j’ai regardé le contenu du payload décodé, j’ai réalisé que Stylish exfiltrait toutes mes données de navigation.
Depuis l’intérieur de son navigateur, Stylish pouvait surveiller tous les sites web qu’il visitait. Pire, comme Heaton avait un identifiant de compte pour cette extension, cette dernière pouvait relier son activité à son identité.
Stylish et SimilarWeb disposent toujours de toutes les données dont ils ont besoin pour relier une identité réelle à un historique de navigation, que ce soit eux ou des hackers qui décident de le faire.
Les extensions ayant de nouveaux propriétaires avec des comportements indésirables et inattendus ne sont pas un nouveau business model, et ce changement particulier n’était pas vraiment un secret car (comme Heaton l’admet volontiers) le changement de propriétaire et ses implications étaient largement rapportés à l’époque dans la presse spécialisée.
Indéniablement, il semble que les créateurs de navigateurs n’aient pas compris les implications d’un changement de propriétaire, expliquant pourquoi Mozilla l’a brusquement retirée cette semaine de sa liste d’Add-On sur Firefox, en écrivant :
Nous avons décidé de bloquer cette extension en raison de la violation de nos pratiques en matière de données, décrites dans notre review policy.
Étant donné que la page Stylish, sur la liste des extensions Chrome, renvoie une erreur 404, il semble que Google ait également eu des doutes, suivi de près par Opera.
Bien sûr, rien de tout cela n’aidera les deux millions d’utilisateurs qui utilisent déjà l’extension Stylish et qui ne sont pas conscients de ces changements.
Billet inspiré de Chrome and Firefox pull history-stealing browser extension, sur Sophos nakedsecurity.