Google Chrome : toutes les extensions pourraient voler vos mots de passe, selon ces chercheurs

Des universitaires étasuniens ont conçu une fausse extension ChatGPT pour Chrome qui peut voler les mots de passe et les données confidentielles des utilisateurs en exploitant un système de permissions de Chrome un peu trop laxiste. Cette démonstration de faisabilité prouve que toutes les extensions du navigateur pourraient exploiter la faille.

google https
Crédits : Google

Des chercheurs de l’Université du Wisconsin à Madison ont créé une extension Chrome et l’ont uploadé sur le Chrome Web Store afin de mettre en lumière une faille de conception du browser de Google. À l’heure actuelle, le système de permissions accordées aux extensions du navigateur le plus populaire au monde permet aux cybercriminels de voler les identifiants et autres informations confidentielles des internautes en texte brut, directement dans le code source.

À lire —  Cette IA redoutable devine vos mots de passe rien qu’en écoutant le son de votre clavier

Pour en arriver à cette conclusion, les informaticiens ont créé une fausse extension ChatGPT pour Chrome qui, en réalité, « capture le code HTML de la page Web quand le visiteur clique sur le bouton “Se connecter”. À cet instant, l’extension copie le code source HTML de la page », et extrait le mot de passe saisi dans le formulaire grâce à une expression régulière.

Les extensions Chrome peuvent voler vos mots de passe avec l’autorisation de Google

À en croire ces universitaires, les permissions accordées aux extensions Chrome sont trop laxistes et permettraient aux pirates de voler les mots de passe des utilisateurs directement dans le code source, ou à travers l’interface de programmation du DOM. D'après eux, 190 extensions, dont certaines ont été téléchargées plus de 100 000 fois, tentent déjà d'exploiter la faille de sécurité.

À lire — Cette IA peut cracker la plupart des mots de passe en moins d’une minute, voici comment vous protéger

Des milliards d’internautes sont donc concernés, car les universitaires affirment que 12,5 % des 140 000 extensions Chrome du Web Store ont obtenu des permissions qui permettraient à leurs concepteurs de voler nos mots de passe, et des sites aussi populaires que Gmail et Amazon, par exemple, affichent les données confidentielles des visiteurs en clair dans le code source.

Source : Bleeping Computer


La rédaction vous conseille aussi...

Réagissez à cet article !

Demandez nos derniers articles !

La mise à jour Linux 7.1 est disponible : meilleures performances et nouveau pilote NTFS au programme

Linus Torvalds a publié la mise à jour vers Linux 7.1, nouvelle version du système d’exploitation libre. Elle apporte des gains de performances importants et une compatibilité améliorée avec le…

Le Royaume-Uni interdit à son tour les réseaux sociaux aux moins de 16 ans

Après l’Australie, c’est donc au Royaume-Uni de bloquer l’accès aux réseaux sociaux des moins de 16 ans. Lors de son allocution officielle, le Premier ministre britannique a souligné que les…

Xiaomi Redmi Pad 2 4G : ce code casse le prix de la tablette, mais ça ne va pas durer !

AliExpress dévoile de nouveaux codes valables quelques jours seulement. Vous avez manqué l’offre sur la Redmi Pad 2 ? La tablette de Xiaomi est de retour à petit prix puisqu’avec…

Lunettes connectées : peur d’être filmé à votre insu ? Cette appli est là pour vous prévenir

Les lunettes connectées commencent à se démocratiser dans les rues. Et avec elles, le risque d’être filmé à son insu augmente crescendo. Un développeur a justement mis au point une…

L’iPhone Ultra n’est pas prêt, Apple repousse la sortie de son premier smartphone pliable

Apple aurait pris la décision de repousser la sortie de son premier iPhone pliable à début 2027. En septembre, seuls les iPhone 18 Pro et 18 Pro Max seront donc…

Test Motorola Edge 70 Fusion : le smartphone milieu de gamme bon partout, mais qui ne fait pas de zèle

Peu avant le printemps, Motorola a lancé le successeur de l’Edge 60 Fusion, logiquement baptisé Edge 70 Fusion. Un terminal qui entend proposer une expérience complète au quotidien, mais à…

Le système anticollision de cette Xiaomi SU7 a totalement lâché, la berline a fini en pièces

On accorde souvent une confiance aveugle aux systèmes de sécurité des voitures électriques. Une mésaventure spectaculaire en Chine vient pourtant bousculer cette certitude. La Xiaomi SU7 concernée a fini sa…

Le Google TV Streamer reçoit une mise à jour qui change tout pour la maison connectée

Une nouvelle mise à jour est déployée pour le Google TV Streamer, le remplaçant du Chromecast. Elle apporte notamment une compatibilité accrue avec Thread, le protocole conçu pour la domotique….

Osmo Action 5 Pro : avec 100 € de réduction, la caméra d’action de DJI passe à petit prix

Toujours en vente à 349 € sur le site officiel de DJI, la Osmo Action 5 Pro passe à seulement 251,50 € en cumulant la promotion en cours avec le…

Des scientifiques ont modélisé un trou noir géant et y ont vu naître… des planètes

Les trous noirs supermassifs passent pour les plus grands destructeurs de l’univers. Une nouvelle étude leur prête pourtant un rôle totalement inattendu. Des millions de planètes pourraient naître à la…

Retrouvez sur Phonandroid toute l’actualité autour de l’OS mobile de Google. Le site est une véritable mine d’or autour des produits Android et bien plus ! Vous cherchez un téléphone ou souhaitez maîtriser parfaitement le votre ? Nos articles, dossiers et tutoriels sont là pour vous informer et vous guider. Votre smartphone n’aura plus aucun secret pour vous. Nous vous ferons découvrir les meilleures applications android sur le Google Play. Si les tablettes vous intéressent, vous pourrez suivre l’actualité des différentes marques. Elles sont nombreuses et s’y retrouver est compliqué. Phonandroid et son forum sont là pour vous informer et vous guider.