Google a annoncé toute une série de modifications, au niveau cybersécurité, dans son navigateur Chrome, qui rendront l’utilisation des extensions plus sécurisée. Les mises à jour, qui seront introduites dans la version 70 du navigateur, concernent les autorisations d’extensions et les comptes de développeur.
Les extensions de navigateur sont de petits programmes qui améliorent les fonctionnalités de celui-ci. Le problème est qu’une extension mal conçue peut permettre le vol de données ou bien une violation de la vie privée des internautes. Le navigateur Chrome est une application de confiance pour la plupart des systèmes d’exploitation. Autrement dit, si vous autorisez une extension à effectuer certaines tâches, le système d’exploitation la laissera faire. Cela peut rendre les utilisateurs vulnérables vis-à-vis d’extensions malveillantes.
Dans le passé, Google avait pris des mesures pour conserver les extensions en ligne tout en limitant les actions possibles. À la fin de l’année dernière, par exemple, il a introduit une fonctionnalité facultative d’isolation de site qui rend plus difficile, pour un code malveillant au niveau d’un site, de voler des données appartenant à un autre lorsque celui-ci se trouve ouvert au même moment dans le navigateur Chrome. Cela permettait également aux administrateurs de bloquer les extensions en fonction des types d’autorisations demandées, telles que l’accès à la webcam ou au presse-papiers.
Des autorisations par-site
Maintenant, il a annoncé son intention d’aller plus loin. Dans Chrome 70, l’entreprise permettra aux utilisateurs de limiter les autorisations d’une extension pour manipuler les données et les services de sites web, et ce au cas par cas. Par le passé, lorsque les utilisateurs donnaient à une extension Chrome l’autorisation de lire et de modifier des données au niveau d’un site web, l’extension pouvait utiliser ces autorisations sur tous les sites. Cette modification permet aux utilisateurs d’être plus sélectifs concernant les sites auxquels cette extension peut accéder.
Par exemple, vous souhaitez peut-être qu’une extension de type capture d’écran puisse lire les informations d’une poignée de sites d’actualité que vous visitez régulièrement, mais vous voudrez peut-être éviter que celle-ci ne puisse lire autre chose, notamment votre compte bancaire en ligne. Chrome 70 limitera les permissions d’accès des hôtes aux sites spécifiques autorisés par l’utilisateur, ou il pourra être configuré pour demander l’approbation d’accès de la part d’un hôte lors de la visite d’un site. L’utilisateur peut également activer les autorisations d’hôte sur tous les sites par défaut s’il le souhaite.
Google va également rendre le processus de révision plus strict pour les extensions qui demandent des “autorisations puissantes”, a-t-il ajouté, et va également surveiller les extensions qui utilisent du code hébergé à distance.
L’obfuscation de code interdit
L’entreprise interdit également l’utilisation de code obfusqué. Il s’agit d’un code JavaScript qui est brouillé pour empêcher les autres utilisateurs de découvrir ce qu’il fait exactement. Même si cela peut être un moyen pour les développeurs de protéger leur IP, un bon reverse engineering finira par lever le voile sans problème, a souligné Google.
En parallèle, le code obsfusqué permet également aux cybercriminels, tels que les cryptojackers, d’exécuter du code malveillant discrètement. Désormais, l’équipe Google Chromium n’en veut plus. Non seulement toutes les nouvelles soumissions d’extensions devront comporter du code utilisable, mais les extensions existantes avec du code obfusqué seront supprimées du Chrome Web Store au début du mois de janvier, si elles ne traitent pas convenablement ce problème. L’entreprise a déclaré :
Aujourd’hui, plus de 70% des extensions malveillantes, et non conformes à nos politiques, que nous bloquons dans le Chrome Web Store contiennent du code obfusqué. En parallèle, étant donné que l’obfuscation est principalement utilisée pour masquer les fonctionnalités du code, notre processus de révision est devenu extrêmement complexe. Ceci n’est plus acceptable compte tenu des modifications du processus de révision susmentionnées.
La minification, qui réduit le code secondaire en supprimant les commentaires et le code inutilisé et en raccourcissant les variables, est toujours acceptable, ajoute-t-il.
Le 2FA pour les développeurs d’extensions
Google a également modifié les conditions requises pour que les développeurs puissent accéder à leurs comptes en ligne. Ils devront utiliser la vérification en deux étapes (ou 2FA) pour accéder à leurs comptes dans le Chrome Web Store à partir de l’année prochaine, a précisé l’entreprise. Il s’agit de protéger les développeurs d’extensions populaires contre le piratage de leurs comptes et la modification des extensions déjà publiées par des acteurs malveillants.
Ces améliorations peuvent contribuer dans une certaine mesure à atténuer les extensions malveillantes dans le navigateur Chrome, au niveau duquel quelques-unes ont été détectées.
Une extension officielle et populaire appelée Web Developer for Chrome a été piratée l’année dernière après que des cybercriminels aient réussi à compromettre le compte du développeur.
Une autre extension appelée “Desbloquear Conteúdo” était quant à elle malveillante dès le départ, en insérant une superposition parfaite de champs de type : nom d’utilisateur, mot de passe et de pavé numérique temporaire de saisie sur le site d’une banque.
Ces modifications apportées à la sécurité sont un avant-goût de la version 3 du “manifest” lié aux extensions de Google, qui compliquera l’écriture d’extensions non sécurisées, a déclaré l’entreprise. Ces modifications incluront des interfaces de programmation d’applications (API) plus étroites afin que les développeurs puissent donner aux extensions un accès plus sélectif aux pages web. Attendez-vous à ces nouveaux changements l’année prochaine.
Billet inspiré de Google’s new rules for developers make Chrome extensions safer for all, sur Sophos nakedsecurity.