Google a fait plusieurs nouvelles annonces pour son Chrome Web Store qui vise à rendre les extensions Chrome plus sûres et transparentes pour ses utilisateurs. En quelques années, nous avons constaté une augmentation significative des extensions malveillantes qui semblent offrir des fonctionnalités utiles, tout en exécutant des scripts malveillants cachés en arrière-plan à l’insu de l’utilisateur.
Google est au courant de ces problèmes et a travaillé de manière proactive pour changer la façon dont son navigateur Web Chrome gère les extensions:
Il y a quelques mois, Google a interdit les extensions utilisant des scripts de cryptocurrency mining, puis en juin, la société a également désactivé complètement l’installation en ligne des extensions Chrome. L’entreprise utilise également des technologies d’apprentissage machine pour détecter et bloquer les extensions malveillantes.
Pour continuer sur cette lancée, Google a annoncé lundi cinq changements majeurs qui donneront aux utilisateurs plus de contrôle sur certaines permissions, applique des mesures de sécurité et rend l’écosystème plus transparent.
Voici les nouveaux changements que Google a inclus dans Chrome 70, qui devrait arriver plus tard ce mois-ci, pour rendre les extensions plus sûres :
Sommaire
1) Nouvelles « host permissions » pour les extensions Chrome
Jusqu’à présent, si une extension demande l’autorisation de lire, d’écrire et de modifier des données sur tous les sites Web, il n’existe aucune option permettant aux utilisateurs de mettre explicitement sur liste noire ou blanche un ensemble spécifique de sites Web.
« Alors que les permissions d’hôte ont permis la création de milliers de cas d’utilisation d’extensions puissants et créatifs, elles ont également conduit à une large gamme d’abus – à la fois malveillants et involontaires – car elles permettent aux extensions de lire et de modifier automatiquement les données sur les sites Web, » explique James Wagner, responsable produit des extensions Chrome.
Cependant, à partir de Chrome 70 (actuellement en bêta), les utilisateurs pourront contrôler quand et comment les extensions Chrome peuvent accéder aux données du site, ce qui leur permettra de restreindre l’accès à tous les sites, puis d’accorder un accès temporaire à un site Web spécifique si nécessaire, ou d’activer des autorisations pour un ensemble spécifique de sites ou tous les sites.
Comme le montre la capture d’écran ci-dessus, un clic droit sur une extension de Chrome 70 révèle un nouveau menu qui permet aux utilisateurs de déterminer si elle « peut lire et modifier les données du site ». Si oui, vous avez le choix entre « Lorsque vous cliquez sur l’extension », « sur le site actuel » ou « Sur tous les sites ».
Chrome extension Les développeurs sont invités à apporter les modifications suivantes à leur extension dès que possible
2) Google interdit l’offuscation du code pour les extensions chromées
Ce n’est un secret pour personne que même après toutes les mesures de sécurité d’un endroit, les extensions Chrome malveillantes trouvent le moyen d’accéder au Chrome Web Store.
La raison en est l’offuscation – une technique visant principalement à protéger la propriété intellectuelle des développeurs de logiciels en rendant les programmes plus difficiles à comprendre, à détecter ou à analyser.
Cependant, les auteurs de logiciels malveillants utilisent souvent des techniques d’empaquetage ou d’offuscation pour compliquer la tâche des scanners automatisés de Google qui doivent examiner l’extension et détecter ou analyser le code malveillant.
Selon Google, plus de 70% des » extensions malveillantes et violant les règles » qu’il bloque contiennent du code obscurci. Cependant, avec Chrome 70, le Chrome Web Store n’autorise plus les extensions dont le code est obscurci.
Google soutient également que l’offuscation du code est insuffisant pour protéger le code des développeurs d’une rétro-ingénierie réellement motivée, car le code JavaScript est toujours exécuté localement sur la machine de l’utilisateur. De plus, un code facilement accessible accélère les performances.
Les nouvelles soumissions d’extension au Chrome Web Store doivent être exemptes de code obscurci dès maintenant, et les développeurs ont 90 jours pour nettoyer leurs extensions Chrome du code obscurci, qu’il soit dans le paquet d’extension ou récupéré sur le web.
3) Vérification obligatoire en deux étapes pour les développeurs
L’an dernier, nous avons assisté à une nouvelle vague d’attaques de hameçonnage visant à pirater des extensions de navigateurs populaires par hameçonnage, puis à les mettre à jour avec du code malveillant et à les distribuer à leurs dizaines de millions d’utilisateurs.
Eh bien, la vérification en deux étapes peut empêcher que cela se produise. À partir de janvier, Google demandera aux développeurs d’activer la vérification en deux étapes sur leurs comptes Chrome Web Store afin de réduire le risque que des pirates informatiques prennent en charge leurs extensions.
4) Nouveau processus d’examen des demandes de prolongation… et c’est strict !
Avec Chrome 70, Google va également commencer à effectuer un examen plus approfondi des extensions qui demandent des « permissions puissantes ».
En outre, l’entreprise commencera également à surveiller étroitement les extensions avec un code hébergé à distance pour détecter rapidement les changements malveillants.
5) Nouveau manifeste version 3 pour les extensions chromées
Google prévoit également d’introduire une nouvelle version du manifeste de la plate-forme d’extensions, la version 3, qui vise à permettre « une sécurité, une confidentialité et des garanties de performance renforcées ».
Google introduira la version 3 de Manifest en 2019, ce qui réduira la portée de ses API, facilitera les mécanismes de contrôle des permissions pour les utilisateurs et prendra en charge de nouvelles fonctionnalités Web telles que le Service Workers comme nouveau processus de fond.
Avec plus de 180 000 extensions dans la boutique Chrome Web Store, Google estime que ces nouveaux changements rendraient la navigation sur le Web plus sûre pour des millions d’utilisateurs.