Chrome : des milliers d’extensions jouent avec la sécurité des utilisateurs

D'après une étude menée par les chercheurs en sécurité informatique de l'institut CISPA Helmholtz Center, des milliers d'extensions Google Chrome suppriment sciemment les en-têtes de sécurité HTTP. Ces en-têtes sont conçus pour contrer de nombreuses cyberattaques. 

Alors que Google Chrome 91 vient tout juste de débarquer, les chercheurs en sécurité informatique de l'institut CISPA Helmholtz Center ont décidé de se pencher sur les 186 000 extensions du Chrome Web Store. Le but de la manœuvre ? Vérifier si ces extensions désactivent ou non les en-têtes de sécurité des connexions HTTP. 

Voyez-vous, les en-têtes HTTP de sécurité sont spécialement conçus pour contrecarrer de nombreuses cyberattaques, comme l'envoi de données corrompues ou l'exploitation de vulnérabilités diverses. Par exemple, l'en-tête HSTS (HTTP Strict Transport Security) utilise un cryptage de données (certificat SSL) pour éviter que vos données ne soient interceptées par des acteurs malveillants durant votre navigation.

À lire également : Chrome 91 améliore le copier-coller des fichiers et le design des formulaires sur Windows 10

2485 extensions suppriment des en-têtes HTTP essentiels

Autre exemple, l'en-tête Public Key Pinning vous protège contre l'émission non autorisée de certificats, et évite ainsi les attaques du type Man-in-the-Middle utilisées notamment pour subtiliser des identifiants d'accès ou d'autres données sensibles. Or, et selon les résultats obtenus par les chercheurs de l'institut CISPA Helmhotz Center, 2485 extensions suppriment au moins l'un des quatre en-têtes HTTP suivants :

• Le protocole HSTS
• Le XFO (X-Frame options) qui permet de protéger les visiteurs d'un site contre la technique du détournement de clic, également appelé clickjacking (permet de rediriger l'utilisateur sur un contenu différent de celui choisi par l'utilisateur)
• Le XCTO (X Content Type Options) qui permet de protéger le serveur contre les tentatives de reniflage des types MIME (permet à un attaquant d'effectuer certaines opérations dangereuses contre le site ou l'utilisateur)
• Le CSP (Content Security Policy) qui permet d'éviter à un attaquant d'introduire des scripts malveillants sur la page principale d'un site

Cerise sur le gâteau, 533 extensions suppriment ces quatre en-têtes simultanément. Comme le précisent les chercheurs, il n'y a forcément vocation de nuire à la sécurité de l'utilisateur, les développeurs de ces extensions préférant se passer des ces en-têtes pour proposer plus de fonctionnalités au sein de leur logiciel.

Cependant, le résultat reste le même à la fin, le risque de cyberattaques pour l'utilisateur de ces extensions Google Chrome augmentant drastiquement. Pour rappel, Google Chrome 90 a récemment souffert de nombreux bugs sur les PC sous Windows 10. Google a rapidement indiqué la marche à suivre pour corriger le problème.

Source : The Record