C'était le grand chantier de Google pour son navigateur. Manifest V3 vient tout juste d'être livré, mais l'état des lieux est bien moins convaincant en pratique que sur le papier…

Manifest V3 : la mise à jour qui devait mieux protéger les utilisateurs de Google Chrome… sans succès © Tada Images / Shutterstock
Manifest V3 : la mise à jour qui devait mieux protéger les utilisateurs de Google Chrome… sans succès © Tada Images / Shutterstock

Pour renforcer la sécurité de ses utilisateurs et utilisatrices, Google a récemment introduit Manifest V3, une refonte de son modèle de sécurité pour les extensions Chrome. Annoncée comme la solution aux failles de Manifest V2, que Redmond elle-même critique pour sa permissivité excessive, cette mise à jour devait protéger les internautes des risques associés aux plugins malveillants. Mais les récentes analyses d’experts en cybersécurité révèlent que Manifest V3 n'est peut-être pas le rempart tant espéré. Si la promesse de sécurité était alléchante, la réalité est finalement bien plus nuancée.

Manifest V3 : un bouclier de sécurité... ou presque

Petite piqûre de rappel, s’il en fallait une. Initialement, Manifest V3 a été conçu pour limiter l'accès des extensions web aux données sensibles. Avec V2, certains modules pouvaient en effet injecter du code dans les pages web sans aucun contrôle a priori, exposant ainsi les internautes au vol de données et aux logiciels malveillants. En réponse, Manifest V3 oblige désormais les développeurs à déclarer leurs scripts à l’avance, et restreint du même coup les permissions accordées aux extensions. En clair, en marge de la lutte contre les plugins malveillants sur le Chrome Web Store, ce renforcement des systèmes de contrôle semblait faire figure de solution idéale.

Mais le bilan est mitigé. Selon SquareX, certaines extensions malveillantes parviennent toujours à contourner les nouvelles protections, interceptant des flux vidéo en direct sur des plateformes comme Google Meet ou Zoom, accédant à l’historique de navigation, ou redirigeant les utilisateurs et utilisatrices vers des pages de phishing déguisées en gestionnaires de mots de passe. Et comme ces extensions échappent souvent aux protections de points de terminaison (EDR/XDR) et aux passerelles de sécurité web (SWG), elles exposent tout autant les entreprises qui comptent sur Chrome pour leurs activités sensibles.

Bref, pour un bouclier censé tout verrouiller, V3 laisse encore passer bien des choses.

Manifest V3 ne sait toujours pas correctement neutraliser les extensions frauduleuses... et c'est problématique © Suri_Studio / Shutterstock
Manifest V3 ne sait toujours pas correctement neutraliser les extensions frauduleuses... et c'est problématique © Suri_Studio / Shutterstock

Adblockers sous pression : un paradoxe qui dérange

Au-delà des conséquences directes sur la sécurité des internautes, Manifest V3 n’en a pas fini avec le tollé généré par le traitement réservé aux bloqueurs de publicité qui participe, lui aussi, à nourrir les risques courus par les internautes.

Pour rappel, V3 amoindrit ouvertement l’efficacité des adblockers, quitte à les rendre inutilisables sur Chrome, comme c’est désormais le cas avec uBlock Origin. Outre les considérations relevant du confort de navigation, la fin programmée des bloqueurs de publicités expose désormais près de 30 millions d’internautes à davantage d’annonces intrusives.

Un paradoxe qui interroge : Manifest V3 devait renforcer la sécurité des utilisateurs et utilisatrices, mais en limitant l’action des bloqueurs de pubs, elle les expose à l’invasion publicitaire. Autrement dit, on passe d’une menace à une autre, moins technique mais tout aussi pesante.

Par ailleurs, cette transition positionne aussi Google en régulateur des extensions : le géant du web impose les permissions et déclare les règles du jeu pour les développeurs, contrôlant ce qui peut et ne peut pas être fait au sein de Chrome. Mais peut-on vraiment concilier cette ambition sécuritaire avec les intérêts de développement de l’entreprise, qui reste l'un des principaux acteurs de la publicité ciblée ? Pour les internautes, s’agit-il d’un vrai progrès en matière de protection, ou d’une opportunité pour Google d’accroître son influence et de maximiser ses revenus ? Manifest V3 semble poser la question du juste équilibre entre sécurité, contrôle, neutralité… et intérêts commerciaux.

Un chantier livré inachevé

Malgré ses promesses, Manifest V3 n’a finalement pas su répondre correctement aux enjeux élémentaires qui auraient justifié son déploiement. La plupart des solutions de sécurité actuelles (EDR/XDR et SWG) peinent toujours à détecter les menaces qui proviennent des extensions, ce qui permet encore à certains modules malveillants de rester insaisissables et d’agir silencieusement.

D’après SquareX, il faudrait mettre en œuvre un contrôle renforcé des permissions, ainsi qu’un suivi des comportements d'extensions, intégrant des analyses dynamiques et des politiques affinées pour contrer les activités suspectes. Vivek Ramachandran, PDG de SquareX, résume bien l’impasse actuelle : « Nos recherches prouvent que sans analyse dynamique et sans la capacité des entreprises à appliquer des politiques strictes, il ne sera pas possible d'identifier et de bloquer ces attaques. Google MV3, bien que bien intentionné, est encore loin d'imposer la sécurité à la fois au niveau de conception et de la phase de mise en œuvre. ».

En définitive, Manifest V3 a peut-être relancé le chantier de la sécurité, mais la tranquillité des internautes reste un vœu pieux. À ce rythme, une refonte plus ambitieuse pourrait bien s’imposer pour atteindre le niveau de protection promis.

À découvrir
Navigateur Web : le Top 7 en 2024

02 décembre 2024 à 20h10

Comparatifs services