Vous faites partie de celles et ceux à installer des extensions à tout-va pour améliorer votre expérience web ? Peut-être serait-il plus sage de lever le doigt sur le clic facile.
Les extensions de navigateur, qui n’en a encore jamais installé ? Qu’il s’agisse de bloquer les publicités, gérer ses mots de passe ou organiser ses tâches, elles ont transformé la manière dont on interagit avec le web. Mais, derrière cette utilité apparente se cachent des risques que l’on ne peut plus ignorer. Plusieurs études récentes révèlent que plus de la moitié des extensions sont susceptibles de manipuler nos données. Alors, doit-on vraiment s’en méfier ?
Des outils pratiques, mais une sécurité souvent négligée
Quand on parle de sécurité en ligne, on pense souvent aux logiciels malveillants ou aux failles de nos systèmes d’exploitation. C’est oublier qu’une menace plus insidieuse se terre là où l’on s’y attend le moins, à savoir dans ces petites extensions de navigateur web que l’on installe sans trop réfléchir. D’après les chiffres officiellement annoncés par Google, Chrome, avec ses 65 % de part de marché, recense plus de 250 000 addons dans le Chrome Web Store. Autant dire que le choix est vaste, pour ne pas dire déroutant. Mais une statistique interpelle plus que les autres : 87 % de ces extensions cumulent moins de 1 000 installations, et la moitié compte moins de 16 téléchargements, ce qui pose un vrai problème de sécurité.
Pourquoi ? Parce que là où les plugins les plus populaires sont régulièrement soumis à davantage de contrôles et bénéficient de mises à jour fréquentes en cas de problème, les extensions moins utilisées attirent moins l'attention, et échappent donc plus souvent à la vigilance des internautes, des experts en cybersécurité, et… de Google. Une différence de traitement qui laisse le champ libre aux développeurs mal intentionnés et/ou négligents, alors que les programmes de protection mis en place par la firme de Mountain View reposent en partie sur les commentaires des utilisateurs et utilisatrices.
Ces parades, justement, permettent de bloquer en moyenne 1 800 modules malveillants par mois, soit moins de 1% des extensions recensées sur le Chrome Web Store. Pour rappel, Google avait été contrainte de faire preuve de plus de sérieux en 2018, après que sept plugins avaient infecté plus de 100 000 PC. Moins de 1%, c’est aussi ce que représentent ces addons bloqués au regard des extensions cumulant moins de 1 000 téléchargements, et donc potentiellement dangereuses. Les risques sont réels : historiques de navigation, identifiants de connexion, informations bancaires, tout est potentiellement à la portée de ces modules additionnels.
Quand vos données deviennent une mine d’or pour les entreprises et les cybercriminels
Le problème principal réside dans les permissions que nous accordons à ces extensions. Qui prend vraiment le temps de lire les demandes d’autorisation avant de cliquer sur « Installer » ? Très peu d’entre nous, et c’est là que le bât blesse. Derrière des promesses de fonctionnalités pratiques, certaines extensions collectent des données que vous ne soupçonnez même pas. Et cela ne concerne pas seulement les particuliers.
Spin.AI, qui s’intéresse aux risques des addons dans les environnements professionnels, révèle que 51 % des extensions utilisées pour améliorer l’environnement des solutions SaaS, comme Google Workspace ou Microsoft 365, présentent des risques élevés pour la sécurité des données. Ces modules peuvent accéder à des fichiers sensibles, des mails professionnels ou encore des informations client. De quoi créer une brèche béante dans la sécurité des entreprises.
Autre surface d’attaque possible, pour les particuliers comme pour les professionnels : les extensions de sécurité trompeuses. Derrière des fonctionnalités promettant de protéger les utilisateurs et utilisatrices se cachent parfois des logiciels espions, collectant discrètement des informations sensibles.
Bien évidemment, la combine est toujours la même : ces plugins jouent sur la confiance des internautes qui recherchent des outils de protection, mais finissent par exposer davantage leurs données. C’est d’ailleurs l’une des justifications – hasardeuse et contreproductive – avancées par Google pour faire avaler Manifest V3 aux éditeurs de bloqueurs de pubs, comme aux internautes. Problème : l'idée étant de limiter le nombre de mises à jour de ces extensions, les données des utilisateurs et utilisatrices risquent d'en faire les frais.
Viennent enfin les addons peu, ou pas, mises à jour, et les extensions changeant de propriétaires, sans que les utilisateurs et utilisatrices en soient informés. Dans le premier cas, des failles de sécurité peuvent finir par être exploitées. Dans le deuxième cas, c’est encore plus vicieux : la nouvelle société derrière l’extension rachetée peut en détourner l’utilisation légitime pour surveiller et collecter des données à l’insu des internautes.
C’est par exemple le cas de « Stylish » qui, à l’origine, permettait de personnaliser l’apparence des pages web. Très populaire, rachetée sans prévenir ses utilisateurs, elle a été transformée en outil de surveillance, destiné à collecter les données de navigation de ses usagers, avant d’être supprimée des stores de Chrome et Firefox. Un cas de dérive parmi d’autres, bien plus fréquent qu’on ne l’imagine.
Comment reprendre le contrôle de vos données ?
Face à ces risques, il existe bien sûr des solutions, et elles commencent par une bonne dose de vigilance. La première étape est de systématiquement contrôler les autorisations accordées avant d’installer une extension. Si un module exige l’accès à votre historique complet ou à vos fichiers, il est préférable de s’abstenir. Ces vérifications de base peuvent sembler évidentes, mais peu d’internautes s’y plient. Pourtant, elles écartent une bonne partie des menaces.
Autre réflexe simple, mais souvent négligé : supprimez les extensions que vous n’utilisez plus. Chaque plugin, actif ou inactif, représente une potentielle porte ouverte sur vos données tant qu'il n'a pas été désinstallé complètement. Alors autant limiter les accès inutiles.
Vers une meilleure régulation des extensions ?
Peu à peu, des initiatives commencent à voir le jour pour renforcer la sécurité des extensions. Google, on l’a vu, procède des audits plus rigoureux sur les extensions proposées sur son Chrome Web Store. Aujourd’hui, les développeurs doivent justifier les permissions qu’ils demandent, déclarer leurs pratiques en termes de collecte et de traitement des données. De leur côté, les internautes sont censés être mieux informés des risques qu’ils courent avant d’installer un addon.
Mozilla a aussi suivi cette voie, en mettant l’accent sur la transparence et la sécurité des extensions disponibles pour Firefox.
Certains navigateurs comme Brave misent sur une approche différente en intégrant des fonctionnalités natives de blocage des publicités et des trackers, réduisant ainsi la dépendance aux modules tiers, et donc la multiplication des points d’entrée pour de potentielles cyberattaques.
Mais au-delà des régulations, une question subsiste : jusqu’où faut-il aller pour protéger les utilisateurs ? Manifest V3 peine à convaincre, et la main mise des géants du web sur ce que peuvent faire ou non les internautes tend à consolider un climat de méfiance vis-à-vis des motivations réelles de Google, Mozilla et consorts. En témoignent, dans une perspective plus générale, les récents esclandres déclenchés par Firefox avec son intégration par défaut de la PPA.
30 septembre 2024 à 22h48
