22/12/2024

Actu CybersécuritéWeb

Les extensions pour Google Chrome peuvent récupérer en clair vos mots de passe !

À partir d'une simple extension Google Chrome, il est possible de récupérer en clair les mots de passe que vous saisissez sur de nombreux sites populaires. Des chercheurs en sécurité ont mis en évidence cette faiblesse dans un rapport. Faisons le point.

Une équipe de chercheurs de l'Université de Wisconsin-Madison a mis en ligne un nouveau rapport technique qui démontre qu'une extension légitime installée à partir du Chrome Web Store au sein d'un navigateur est en mesure de voler des informations sensibles. Le principe du moindre privilège n'étant pas appliqué par les développeurs dans de nombreuses extensions, y compris certaines populaires, fait qu'elles sont en mesure d'accéder aux informations saisies dans les formulaires d'un site web. Ceci peut permettre à l'extension de récupérer en clair l'identifiant et le mot de passe d'un utilisateur.

En fait, les chercheurs expliquent que le problème est lié au fait que les développeurs donnent aux extensions un accès illimité à l'arborescence DOM des sites. Même si le comportement n'est pas le même sur tous les sites, avec certains formulaires, les données saisies sont visibles dans le code source et les extensions peuvent les récupérer. A cela s'ajoute le fait que l'extension peut abuser de l'API DOM pour extraire directement les informations saisies au fur et à mesure que l'utilisateur les saisit.

Pour apporter une couche de sécurité supplémentaire, la majorité des navigateurs utilisent le protocole Manifest V3 introduit à Google Chrome et qui empêche les extensions d'exécuter certaines actions. Toutefois, c'est insuffisant et inefficace contre les scripts de contenus.

Ainsi, l'extension mise au point par les développeurs qui se présente comme un assistant basé sur GPT est capable de récupérer les informations sensibles en abusant du code source HTML de la page, des balises CSS et d'éléments JavaScript. Cette extension ne comporte aucun code malveillant et elle est conforme Manifest V3 car elle ne charge pas de code à partir de sources externes. De ce fait, elle a été approuvée par Google et a été mise en ligne sur le Chrome Web Store.

Les sites les plus populaires sont vulnérables

D'après les tests effectués par les chercheurs, la majorité des sites du Top 10 000 mondial sont vulnérables. Environ 1 100 sites stockent les mots de passe des utilisateurs sous forme de texte en clair dans HTML DOM. Par ailleurs, 7 300 sites sont vulnérables à l'extraction de données via l'accès DOM API.

Cette faiblesse n'affecte pas uniquement Google Chrome car d'autres navigateurs utilisent la base Chromium.

Voici quelques exemples : gmail.com, facebook.com, cloudflare.com, amazon.com.

Faiblesse extension navigateur extraction mots de passe
Source : arxiv.org

Dans le même temps, environ 17 300 extensions du Chrome Web Store (soit 12,5 %) disposent des autorisations nécessaires pour extraire ces informations sensibles. Cela est d'autant plus inquiétant que 190 extensions (dont certaines avec plus de 100 000 téléchargements) stockent déjà ces informations dans des variables. Ce qui laisse penser que certaines extensions exploitent déjà ce problème de sécurité.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.