More

    Fuite de données sensibles : sécurité compromise pour Chrome en France

    France

    Une étude récente met en lumière des failles de sécurité dans plusieurs extensions pour Chrome, révélant que des données sensibles, y compris des identifiants codés en dur, sont exposées. Ces découvertes proviennent d’un ingénieur logiciel de Symantec, Yaunjing Guo, qui a identifié des extensions telles que DualSafe Password Manager et Avast Online Security & Privacy comme étant particulièrement problématiques.

    Des lacunes critiques dans la sécurité des extensions

    Selon Guo, ces extensions exposent des données via des connexions HTTP non sécurisées et contiennent des identifiants codés en dur. Cela inclut des clés API, des secrets et des jetons intégrés dans le code JavaScript de ces outils. Patrick Tiquet, vice-président de la sécurité et de l’architecture chez Keeper Security, souligne que même les extensions les plus populaires peuvent mettre les utilisateurs à risque si les développeurs ne sont pas vigilants. « Transmettre des données par HTTP non chiffré expose les utilisateurs à des attaques de profilage, d’hameçonnage et à des attaques de type Adversary-in-the-Middle, en particulier sur des réseaux non sécurisés », déclare-t-il.

    Transmission de données sensibles par HTTP

    Utiliser des connexions HTTP simples pour transmettre des données sensibles expose plusieurs informations en clair, telles que les domaines de navigation et les détails du système d’exploitation. « Un attaquant MITM (Man-in-the-Middle) sur le même réseau peut intercepter ces données, ce qui crée des risques bien plus graves qu’une simple écoute clandestine », explique M. Guo. Des extensions comme SEMRush Rank et PI Rank envoient des données de navigation non chiffrées, tandis que MSN New Tab/Homepage partage des informations d’identification machine persistantes. De plus, DualSafe Password Manager envoie des données analytiques non sécurisées, augmentant le risque d’exploitation.

    Identifiants codés en dur dans le code

    Les identifiants codés en dur, tels que les clés API et les jetons, sont exposés dans le JavaScript d’extensions populaires. Par exemple, les extensions Avast Online Security et AVG Online Security contiennent des secrets d’API Google Analytics 4 (GA4) qu’un pirate pourrait exploiter pour envoyer des données frauduleuses. D’autres extensions, comme Awesome Screen Recorder et Scrolling Screenshot Tool, révèlent des clés d’accès à AWS S3, rendant ces informations facilement accessibles aux attaquants. Eric Schwake, directeur de la stratégie de cybersécurité chez Salt Security, met en garde contre les conséquences malveillantes de ces pratiques, notamment l’augmentation des coûts des API et l’hébergement de contenus illicites.

    LAISSER UN COMMENTAIRE

    S'il vous plaît entrez votre commentaire!
    S'il vous plaît entrez votre nom ici


    Actualités

    L’acteur de Friends, Matthew Perry, décède à 54 ans

    "Matthew Perry, célèbre pour son rôle de Chandler Bing dans Friends, décède à 54 ans. Acteur très apprécié, sa mort suscite l'émotion mondiale."

    Entité sioniste déploie des navires de guerre en Mer Rouge selon un expert militaire

    Entité sioniste déploie des navires de guerre en Mer Rouge pour contrer les Houthis au Yémen, une manœuvre vue comme une démonstration de force envers l'Iran.

    L’affaire des SMS entre Pfizer et la Commission européenne : ce qu’il faut savoir

    En avril 2021, le New York Times a révélé...

    Banque suisse : Credit Suisse en chute libre après la faillite de la SVB

    L'action de Credit Suisse a dévissé de plus de...

    Le Retour de Microsoft avec Bing et Edge : Une Menace pour Google ?

    Depuis moins de trois mois, ChatGPT a déjà créé...

    Tour de France 2026 : 184 coureurs au départ, mais seulement 30 Français

    Le Tour de France 2026 s'élance samedi 4 juillet...

    Jimmy Mohamed retiré de l’antenne de France Télévisions après les accusations de violences de son épouse

    France Télévisions a confirmé, lundi, que Jimmy Mohamed n'interviendra...

    Inflation : la France repasse sous les 2 % en juin, mais l’Insee attend une remontée à 2,7 % d’ici décembre

    L'inflation française retombe à 1,8 % sur un an en juin, après 2,4 % en mai, portée par la détente des prix de l'énergie. L'Insee anticipe cependant un retour à 2,7 % en décembre.

    Motion de censure contre Lecornu : les écologistes défient la majorité, le vote attendu lundi

    Le groupe écologiste à l'Assemblée nationale a déposé, jeudi...

    BCE, Banque de France, OCDE : trois signaux macroéconomiques qui pèsent sur la France cet été

    Alors que la BCE laisse entendre qu'une nouvelle hausse des taux est improbable en juillet, la Banque de France ramène sa prévision de croissance 2026 à 0,5 % et l'OCDE confirme que la France reste l'un des cancres budgétaires de la zone euro. Trois signaux qui dessinent un été tendu pour le portefeuille des Français et les comptes de l'État.

    Espagne : la croissance continue de défier la sinistrose française

    Le ministre espagnol de l'Économie Carlos Cuerpo a annoncé...

    à Lire

    Categories