extensions de navigateur

Comment les Applications Web peuvent transformer les Extensions de Navigateur en portes dérobées

Des chercheurs ont ajouté une autre raison de se méfier des extensions de navigateur. Selon un rapport académique récemment publié, plusieurs extensions Chrome, Firefox et Opera peuvent être compromises par des personnes mal intentionnés qui chercheraient à mettre la main sur vos données personnelles et installer des fichiers sur vos machines.

“Nous avons identifié un nombre important d’extensions qui peuvent être exploité par des applications web pour profiter de leurs permissions,” a écrit Dolière Francis Somé, chercheur à l’Université de Côte d’Azur. Si vous avez un bon niveau d’anglais vous pouvez tout lire ici: Empowering Web Applications with Browser Extensions (PDF).

Une application web est un programme client-serveur exécuter par un navigateur web. Un formulaire en ligne est une application web basique. Ensuite il y’a les extensions de navigateur – des petits logiciels que l’on peut ajouté à son navigateur web pour le customiser ( ex: les bloqueurs de publicités).

“Les extensions de navigateurs ont accès à des informations sensibles, historique de navigations, marque-pages, cookies et la liste des extensions installées,” a précisé Somé. “Ils ont accès à un espace de stockage permanent où ils peuvent stocker des données tant qu’ils sont installés sur le navigateur de l’usager. Ils peuvent déclencher le téléchargement de fichier et les sauvegarder sur l’appareil de l’utilisateur.”

Cet accès est propre aux applications web, lesquelles sont soumises à la Same Origin Policy (SOP) qui empêche aux applications de lire et écrire des données venant d’autres domaines que les leurs. Somé démontre comment une application web peut contourner les protections SOP en exploitant les permissions données aux extensions de navigateur.

“Nos résultats démontrent que les communications entre les extensions de navigateurs et les applications web posent de sérieux problèmes de sécurité et de protection de données personnelles,” selon le chercheur.

L’attaque se déroulerait de cette façon:

“L’agresseur utilise un script présent dans l’application web en cours d’exécution sur le navigateur. Le script appartient soit à l’application web soit à un parti tiers. Le but de l’agresseur est d’interagir avec les extensions installées pour pouvoir accéder aux données importantes. Il s’appuie sur les extensions dont les privilèges peuvent être exploité via un échange de messages avec des scripts dans l’application web,” ont écrite les chercheurs.

Ils ont ajouté, “Même si les scripts de contenus, les pages en arrière plan et les applications web appartiennent à des contextes d’exécutions différents, ils peuvent établir des canaux de communications pour échanger des messages… des APIs sont utilisées pour envoyer et recevoir des messages.”

Somé s’est concentré sur une classe spécifique d’extension web appelé “WebExtensions API,” compatible avec les navigateurs les plus connus comme Chrome, Firefox, Opera et Microsoft Edge. Après avoir analyser 78 315 extensions qui utilisait l’API WebExtension, 3996 étaient suspectes.

extensions de navigateur

Somé a précisé que ses recherches ont trouvé un petit nombre d’extensions vulnérables, il ne faut donc pas paniqué. Cependant, “les extensions devraient être examiner plus rigoureusement, en particulier l’utilisation de message entre les interfaces dans les extensions de navigateur.”

Laisser un commentaire