Google annonce 5 mises à jour de sécurité majeures pour les extensions Chrome

Simon / Pixabay

a annoncé plusieurs nouvelles annonces pour son dans le but de sécuriser les extensions. En quelques années, nous avons assisté à une augmentation significative du nombre d’extensions malveillantes qui semblent offrir des fonctionnalités utiles, tout en exécutant des scripts malveillants cachés en arrière-plan, à l’insu de l’utilisateur.

En début de 2018, Google a interdit les extensions utilisant des scripts de minage de crypto-monnaie. En juin 2018, la société a également désactivé l’installation en ligne des extensions Chrome. La société utilise également des technologies d’apprentissage automatique pour détecter et bloquer les extensions malveillantes. Pour aller plus loin, Google vient annoncer 5 modifications majeures permettant aux utilisateurs de mieux contrôler certaines autorisations, de mettre en œuvre des mesures de sécurité et de rendre l’écosystème plus transparent.

Nouvelles autorisations d’hôte pour les extensions Chrome

Jusqu’à présent, si une extension demande l’autorisation de lire, d’écrire et de modifier des données sur tous les sites Web, il n’existe aucune option permettant à l’utilisateur de mettre explicitement en liste noire ou blanche un ensemble spécifique de sites Web.

Bien que les autorisations des hôtes aient permis la création de milliers d’utilisations d’extensions puissantes et créatives, elles ont également conduit à un large éventail d’utilisations abusives, malveillantes et non intentionnelles, car elles permettent aux extensions de lire et de modifier automatiquement les données sur des sites Web selon James Wagner, chef de produit des extensions Chrome.

Et à partir de Chrome 70 (actuellement en version bêta), les utilisateurs seront en mesure de contrôler quand et comment les extensions Chrome peuvent accéder aux données du site, ce qui leur permet de restreindre l’accès de tous les sites, puis d’accorder un accès temporaire à un site Web spécifique, le cas échéant. activer les autorisations pour un ensemble spécifique de sites Web ou tous les sites. Les développeurs sont invités à apporter ces modifications à leur extension dès que possible.

Google interdit l’obfuscation du code pour les extensions Chrome

Ce n’est un secret pour personne que, même après toutes les mesures de sécurité en place, des extensions Chrome malveillantes parviennent à accéder au Chrome Web Store. La raison en est l’obfuscation, une technique visant principalement à protéger la propriété intellectuelle des développeurs de logiciels en rendant les programmes plus difficiles à comprendre, à détecter et à analyser. Mais les auteurs de malwares utilisent souvent des techniques d’empaquetage ou d’obfuscation pour empêcher les analyseurs automatisés de Google de vérifier l’extension et de détecter ou d’analyser le code malveillant.

Selon Google, plus de 70 % des extensions malveillantes et enfreignant les règles bloquées contiennent du code obfuscé. Mais  avec Chrome 70, le Chrome Web Store n’autorise plus les extensions avec ce type de code. Google affirme également que l’obfuscation du code est insuffisant pour protéger le code du développeur d’un reverse engineering réellement motivé, car le code JavaScript s’exécute toujours localement sur la machine d’un utilisateur. En outre, un code facilement accessible accélère les performances.

Les nouvelles extensions envoyées au Chrome Web Store doivent être exemptes de code obfusqué à partir de maintenant et les développeurs disposent de 90 jours pour supprimer le code obfuscé dans leurs extensions Chrome, que ce soit dans le package d’extension ou extraites du Web.

Vérification en deux étapes obligatoire pour les développeurs

En 2017, nous avons assisté à une nouvelle vague d’attaques de phishing visant à détourner des extensions de navigateur populaires par le biais de phishing, puis à les mettre à jour avec du code malveillant et à les distribuer à leurs dizaines de millions d’utilisateurs. Eh bien, la vérification en deux étapes peut l’empêcher. À compter de janvier 2019, Google demandera aux développeurs d’activer la vérification en deux étapes sur leurs comptes Chrome Web Store afin de réduire le risque de piratage de leurs extensions par les pirates.

Si votre extension devient populaire, elle peut attirer les pirates qui veulent la voler en détournant votre compte. La vérification en deux étapes ajoute une couche de sécurité supplémentaire en exigeant une deuxième étape d’authentification de votre téléphone ou une clé de sécurité physique selon Wagner. .

Nouveau processus de révision des extensions

Avec Chrome 70, Google commencera également à effectuer une révision plus approfondie des extensions qui demandent des autorisations intrusives. En outre, la société commencera également à surveiller de près les extensions avec un code hébergé à distance pour détecter rapidement les modifications malveillantes.

Nouveau Manifeste en version 3 pour les extensions Chrome

Google prévoit également d’introduire une nouvelle version du manifeste de la plate-forme d’extensions, la version 3, qui vise à permettre des garanties de sécurité, de confidentialité et de performance renforcées. Google introduira Manifest version 3 en 2019, ce qui réduira la portée de ses API, simplifiera les mécanismes de contrôle des autorisations pour les utilisateurs et prendra en charge de nouvelles fonctionnalités Web telles que les opérateurs de services, en tant que nouveau processus d’arrière-plan. Avec plus de 180 000 extensions dans le Chrome Web Store, Google estime que ces nouvelles modifications renforceront la sécurité de la navigation sur le Web pour des millions d’utilisateurs.

Source

Houssen Mohsinaly

Houssen Mohsinaly

Rédacteur web depuis 2009 et vulgarisateur scientifique. J'écris sur l'actualité scientifique, les cryptomonnaie, mais également les nombreux domaines de la sécurité informatique. Que ce soit les piratages, les Ransomwares, les virus et d'autres malwares.

Avant de lancer ce blog, j'étais contributeur sur de nombreux magazines spécialisés dans la sécurité informatique et je tenais également une rubrique sur les menaces sur le numérique dans un titre de la presse écrite.

Pour me contacter personnellement :

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *