Une étude récente met en lumière des failles de sécurité dans plusieurs extensions pour Chrome, révélant que des données sensibles, y compris des identifiants codés en dur, sont exposées. Ces découvertes proviennent d’un ingénieur logiciel de Symantec, Yaunjing Guo, qui a identifié des extensions telles que DualSafe Password Manager et Avast Online Security & Privacy comme étant particulièrement problématiques.
Des lacunes critiques dans la sécurité des extensions
Selon Guo, ces extensions exposent des données via des connexions HTTP non sécurisées et contiennent des identifiants codés en dur. Cela inclut des clés API, des secrets et des jetons intégrés dans le code JavaScript de ces outils. Patrick Tiquet, vice-président de la sécurité et de l’architecture chez Keeper Security, souligne que même les extensions les plus populaires peuvent mettre les utilisateurs à risque si les développeurs ne sont pas vigilants. « Transmettre des données par HTTP non chiffré expose les utilisateurs à des attaques de profilage, d’hameçonnage et à des attaques de type Adversary-in-the-Middle, en particulier sur des réseaux non sécurisés », déclare-t-il.
Transmission de données sensibles par HTTP
Utiliser des connexions HTTP simples pour transmettre des données sensibles expose plusieurs informations en clair, telles que les domaines de navigation et les détails du système d’exploitation. « Un attaquant MITM (Man-in-the-Middle) sur le même réseau peut intercepter ces données, ce qui crée des risques bien plus graves qu’une simple écoute clandestine », explique M. Guo. Des extensions comme SEMRush Rank et PI Rank envoient des données de navigation non chiffrées, tandis que MSN New Tab/Homepage partage des informations d’identification machine persistantes. De plus, DualSafe Password Manager envoie des données analytiques non sécurisées, augmentant le risque d’exploitation.
Identifiants codés en dur dans le code
Les identifiants codés en dur, tels que les clés API et les jetons, sont exposés dans le JavaScript d’extensions populaires. Par exemple, les extensions Avast Online Security et AVG Online Security contiennent des secrets d’API Google Analytics 4 (GA4) qu’un pirate pourrait exploiter pour envoyer des données frauduleuses. D’autres extensions, comme Awesome Screen Recorder et Scrolling Screenshot Tool, révèlent des clés d’accès à AWS S3, rendant ces informations facilement accessibles aux attaquants. Eric Schwake, directeur de la stratégie de cybersécurité chez Salt Security, met en garde contre les conséquences malveillantes de ces pratiques, notamment l’augmentation des coûts des API et l’hébergement de contenus illicites.