Manifest V3 : la mise à jour qui devait mieux protéger les utilisateurs de Google Chrome… sans succès

Par Chloé Claessens, Spécialiste cybersécurité.

Publié le 13 novembre 2024 à 08h01

C'était le grand chantier de Google pour son navigateur. Manifest V3 vient tout juste d'être livré, mais l'état des lieux est bien moins convaincant en pratique que sur le papier…

Manifest V3 : la mise à jour qui devait mieux protéger les utilisateurs de Google Chrome… sans succès © Tada Images / Shutterstock

Pour renforcer la sécurité de ses utilisateurs et utilisatrices, Google a récemment introduit Manifest V3, une refonte de son modèle de sécurité pour les extensions Chrome. Annoncée comme la solution aux failles de Manifest V2, que Redmond elle-même critique pour sa permissivité excessive, cette mise à jour devait protéger les internautes des risques associés aux plugins malveillants. Mais les récentes analyses d’experts en cybersécurité révèlent que Manifest V3 n'est peut-être pas le rempart tant espéré. Si la promesse de sécurité était alléchante, la réalité est finalement bien plus nuancée.

Manifest V3 : un bouclier de sécurité... ou presque

Petite piqûre de rappel, s’il en fallait une. Initialement, Manifest V3 a été conçu pour limiter l'accès des extensions web aux données sensibles. Avec V2, certains modules pouvaient en effet injecter du code dans les pages web sans aucun contrôle a priori, exposant ainsi les internautes au vol de données et aux logiciels malveillants. En réponse, Manifest V3 oblige désormais les développeurs à déclarer leurs scripts à l’avance, et restreint du même coup les permissions accordées aux extensions. En clair, en marge de la lutte contre les plugins malveillants sur le Chrome Web Store, ce renforcement des systèmes de contrôle semblait faire figure de solution idéale.

Mais le bilan est mitigé. Selon SquareX, certaines extensions malveillantes parviennent toujours à contourner les nouvelles protections, interceptant des flux vidéo en direct sur des plateformes comme Google Meet ou Zoom, accédant à l’historique de navigation, ou redirigeant les utilisateurs et utilisatrices vers des pages de phishing déguisées en gestionnaires de mots de passe. Et comme ces extensions échappent souvent aux protections de points de terminaison (EDR/XDR) et aux passerelles de sécurité web (SWG), elles exposent tout autant les entreprises qui comptent sur Chrome pour leurs activités sensibles.

Bref, pour un bouclier censé tout verrouiller, V3 laisse encore passer bien des choses.

Manifest V3 ne sait toujours pas correctement neutraliser les extensions frauduleuses... et c'est problématique © Suri_Studio / Shutterstock

Adblockers sous pression : un paradoxe qui dérange

Au-delà des conséquences directes sur la sécurité des internautes, Manifest V3 n’en a pas fini avec le tollé généré par le traitement réservé aux bloqueurs de publicité qui participe, lui aussi, à nourrir les risques courus par les internautes.

Pour rappel, V3 amoindrit ouvertement l’efficacité des adblockers, quitte à les rendre inutilisables sur Chrome, comme c’est désormais le cas avec uBlock Origin. Outre les considérations relevant du confort de navigation, la fin programmée des bloqueurs de publicités expose désormais près de 30 millions d’internautes à davantage d’annonces intrusives.

Un paradoxe qui interroge : Manifest V3 devait renforcer la sécurité des utilisateurs et utilisatrices, mais en limitant l’action des bloqueurs de pubs, elle les expose à l’invasion publicitaire. Autrement dit, on passe d’une menace à une autre, moins technique mais tout aussi pesante.

À découvrir

Vos extensions préférées vont bientôt disparaître de Google Chrome, quelles sont les alternatives ?

08 août 2024 à 07h00

News

Par ailleurs, cette transition positionne aussi Google en régulateur des extensions : le géant du web impose les permissions et déclare les règles du jeu pour les développeurs, contrôlant ce qui peut et ne peut pas être fait au sein de Chrome. Mais peut-on vraiment concilier cette ambition sécuritaire avec les intérêts de développement de l’entreprise, qui reste l'un des principaux acteurs de la publicité ciblée ? Pour les internautes, s’agit-il d’un vrai progrès en matière de protection, ou d’une opportunité pour Google d’accroître son influence et de maximiser ses revenus ? Manifest V3 semble poser la question du juste équilibre entre sécurité, contrôle, neutralité… et intérêts commerciaux.

Un chantier livré inachevé

Malgré ses promesses, Manifest V3 n’a finalement pas su répondre correctement aux enjeux élémentaires qui auraient justifié son déploiement. La plupart des solutions de sécurité actuelles (EDR/XDR et SWG) peinent toujours à détecter les menaces qui proviennent des extensions, ce qui permet encore à certains modules malveillants de rester insaisissables et d’agir silencieusement.

D’après SquareX, il faudrait mettre en œuvre un contrôle renforcé des permissions, ainsi qu’un suivi des comportements d'extensions, intégrant des analyses dynamiques et des politiques affinées pour contrer les activités suspectes. Vivek Ramachandran, PDG de SquareX, résume bien l’impasse actuelle : « Nos recherches prouvent que sans analyse dynamique et sans la capacité des entreprises à appliquer des politiques strictes, il ne sera pas possible d'identifier et de bloquer ces attaques. Google MV3, bien que bien intentionné, est encore loin d'imposer la sécurité à la fois au niveau de conception et de la phase de mise en œuvre. ».

En définitive, Manifest V3 a peut-être relancé le chantier de la sécurité, mais la tranquillité des internautes reste un vœu pieux. À ce rythme, une refonte plus ambitieuse pourrait bien s’imposer pour atteindre le niveau de protection promis.

Sources : SquareX via X.com, TechRadar

À découvrir

Navigateur Web : le Top 7 en 2024

02 novembre 2024 à 15h20

Comparatifs services

Par Chloé Claessens

Spécialiste cybersécurité

Débarquée chez Clubic en 2020 pour parler logiciels, applications et systèmes d’exploitation, je me suis peu à peu spécialisée dans le domaine de la cybersécurité. J’écris essentiellement sur les VPN, mais je couvre aussi les sujets liés à la sécurité des systèmes et des réseaux.

Articles de Chloé Claessens

Navigateur web

Google

Internet & communication

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

Neustrie

C’est chrome le spyware, c’est une cochonnerie ce navigateur.

Howely

« Par ailleurs, cette transition positionne aussi Google en régulateur des extensions : le géant du web impose les permissions et déclare les règles du jeu pour les développeurs, contrôlant ce qui peut et ne peut pas être fait au sein de Chrome. »

Alors autant je comprends la polémique sur les bloqueurs de pub (et c’est probablement ce qui ne me fera pas passer à chrome), autant je ne vois pas le problème quand un propriétaire de logiciel met des règles pour accepter ou non des addons (si c’est bien une critique que j’ai compris en lisant). Il ne nous appartient pas et il doit faire en sorte que le navigateur ne soit pas dévoyé. Hélas par contre ça peut ne pas aller dans notre sens.

_DARKWOLF_1_1

cela me conforte dans l’idée que MV3 est là avant tout pour casser les extensions qui empêchent Google de gagner de l’argent, en supprimant les pubs.

Et dans cette bataille, ce sont les utilisateurs qui seront une nouvelle fois lésés.

L’ultimatum avant la désactivation de très bonnes extensions (comme Linkclump) est maintenant imminent.

paulposition

Je pense que le but premier de Manifest V3 -inavoué bien sur par Google- est de rendre inutilisable les bloqueurs de Pub, et en ca , SUR CHROME, c’est réussi. Ne pas oublier que comme le dit @Neustrie : Chrome est un véritable spyware, et Google gagne énormément a collecter les données de ceux qui l’utilise; " bloquer les bloqueurs" , Manifest v3 le fait très bien

F_Bombyx

Changez de crèmerie!
-Firefox (Waterfox, Librewolf, Zen, Floorp…)
-Chromium (Vivaldi, Brave…)

Pour info Opera, depuis Opera 14, joue aussi les spywares.

Cassios

J’ai entendu dire que Firefox s’y mettait aussi pour espionner les données utilisateurs.
Quelqu’un a des infos ou un lien à me donner sur ce sujet??

juju251

Un tollé ?
Si tel était le cas, les parts de marché de Chrome (et associés) devraient s’effondrer au profit de Firefox.

Sauf que continuer à utiliser Chromium c’est participer au fait qu’un seul moteur domine la navigation sur Internet et accessoirement Chromium, même si open source reste sous la croupe de Google.

max6

ouais mais ce qui ressort surtout de cet article c’est que les pirates vont juste devoir prendre en compte extension pour continuer tranquillement leurs activités sur la passoire alors que les bloqueurs de pub eux ne fonctionneront plus du tout.
donc manifest V3 est bien là pour assurer plus de « sécurité » à la pub.
Mais vous avez raison le navigateur ne nous appartiens pas mais on peut refuser de l’utiliser dans ces conditions parce je n’appartiens pas à google non plus.

max6

oui rendez-vous dans parametres et sécurités et décochez les options de « Collecte de données par Firefox et utilisation » et de « Préférences publicitaires des sites web » et « l’espionnage prend fin » c’est toute la différence avec chrome

mamide

Manifest v3 a pour seul but de faire Ch*** les développeurs de bloqueurs de pubs c’est tout, Google utilise son navigateur pour gagner de l’oseille sur Youtube.