Google Chrome : toutes les extensions pourraient voler vos mots de passe, selon ces chercheurs

Des universitaires étasuniens ont conçu une fausse extension ChatGPT pour Chrome qui peut voler les mots de passe et les données confidentielles des utilisateurs en exploitant un système de permissions de Chrome un peu trop laxiste. Cette démonstration de faisabilité prouve que toutes les extensions du navigateur pourraient exploiter la faille.

google https
Crédits : Google

Des chercheurs de l’Université du Wisconsin à Madison ont créé une extension Chrome et l’ont uploadé sur le Chrome Web Store afin de mettre en lumière une faille de conception du browser de Google. À l’heure actuelle, le système de permissions accordées aux extensions du navigateur le plus populaire au monde permet aux cybercriminels de voler les identifiants et autres informations confidentielles des internautes en texte brut, directement dans le code source.

À lire —  Cette IA redoutable devine vos mots de passe rien qu’en écoutant le son de votre clavier

Pour en arriver à cette conclusion, les informaticiens ont créé une fausse extension ChatGPT pour Chrome qui, en réalité, « capture le code HTML de la page Web quand le visiteur clique sur le bouton “Se connecter”. À cet instant, l’extension copie le code source HTML de la page », et extrait le mot de passe saisi dans le formulaire grâce à une expression régulière.

Les extensions Chrome peuvent voler vos mots de passe avec l’autorisation de Google

À en croire ces universitaires, les permissions accordées aux extensions Chrome sont trop laxistes et permettraient aux pirates de voler les mots de passe des utilisateurs directement dans le code source, ou à travers l’interface de programmation du DOM. D'après eux, 190 extensions, dont certaines ont été téléchargées plus de 100 000 fois, tentent déjà d'exploiter la faille de sécurité.

À lire — Cette IA peut cracker la plupart des mots de passe en moins d’une minute, voici comment vous protéger

Des milliards d’internautes sont donc concernés, car les universitaires affirment que 12,5 % des 140 000 extensions Chrome du Web Store ont obtenu des permissions qui permettraient à leurs concepteurs de voler nos mots de passe, et des sites aussi populaires que Gmail et Amazon, par exemple, affichent les données confidentielles des visiteurs en clair dans le code source.

Source : Bleeping Computer


La rédaction vous conseille aussi...

Réagissez à cet article !

Demandez nos derniers articles !

Top 3 : quels sont les meilleurs VPN pour regarder le sport gratuitement en 2026 ?

Les VPN sont aujourd’hui des outils indispensables pour pouvoir voyager, pour sécuriser sa connexion ou bien pour conserver ses données confidentielles. Mais ils sont aussi très utiles pour les fans…

Cette puce maison permet à Meta d’échapper à la pénurie de mémoire qui frappe le monde entier

La pénurie de mémoire frappe le monde entier et fait grimper les prix sans répit. Meta, lui, a trouvé une parade plutôt maline. Sa solution maison pourrait bien lui faire…

Pas besoin de Steam Machine, des PC gaming débarquent avec SteamOS préinstallé

Face à la déception engendrée par la Steam Machine, des fabricants proposent des alternatives de PC gaming déjà montés et avec SteamOS préinstallé. Après des mois d’attente, Valve a enfin…

Après les smartphones pliables, Samsung va lancer des smartphones à écran coulissant

Samsung pourrait sortir sur le marché un modèle de smartphone enroulable en 2028. Jusqu’ici, seuls des prototypes non commercialisés ont vu le jour. Samsung est en train de mettre au…

PayPal lance le paiement fractionné en 6, 12 et 24 fois en France

PayPal n’offrait jusqu’ici que le paiement fractionné en 4 fois en France, la plateforme propose désormais l’étalement sur 6, 12 et 24 fois. Des frais sont par contre à prévoir….

AliExpress dévoile une avalanche de promotions avec de nouveaux codes, les prix cassés sont au rendez-vous

Les opérations promotionnelles reprennent chez AliExpress. En parallèle des soldes, la plateforme casse le prix de nombreux produits high-tech avec des remises immédiates auxquelles s’ajoutent des codes promo cumulables. Smartphones,…

Nouveautés Netflix juillet 2026 : les séries et films à regarder

Chaque mois nous vous proposons de faire le point sur les séries et films proposés par Netflix. Nouveautés, documentaires, nous vous proposons également un top 3 des séries et des films à suivre. Prêts ? Bingez !

Spider-Man Brand New Day : histoire, casting, date de sortie, tout ce qu’on sait sur le prochain Marvel avec Tom Holland

Tom Holland revient en 2026 dans la peau de l’Homme-Araignée pour une nouvelle aventure. Date de sortie, casting, scénario, on vous dit ce qu’il faut savoir sur Spider-Man Brand New…

Test JBL Live Flex 4 : la nouvelle alternative séduisante aux Galaxy Buds4 et aux AirPods 4

Alors que Samsung et Apple misent sur des écouteurs semi-ouverts aux fonctions exclusives à leur écosystème maison, JBL vient proposer une alternative plutôt séduisante : les JBL Live Flex 4.  Conçus…

Crise de la RAM : une plainte collective accuse les fabricants de mémoire d’avoir délibérément fait exploser les prix

Trop, c’est trop : face à la montée sans précédent des prix de la mémoire, un groupe de consommateurs et de professionnels ont décidé de s’allier pour porter plainte contre…