85% des extensions Chrome n’ont même pas de politique de confidentialité

Tech > Google > Chrome
Par Emmanuel Ghesquier publié le 24 février 2019 à 14h49, modifié le 24 février 2019 à 14h50.

Plus d’un tiers des extensions Chrome se moque de votre vie privée et 85% n'ont même pas de politique de confidentialité ! C'est le triste bilan d'une étude effectuée par la société Duo Labs.

Une étude de Duo Labs n’est pas très rassurante concernant le navigateur Chrome, plus précisément concernant ses extensions. Ainsi, sur les 120 000 extensions testées par la société de cybersécurité, plus d’un tiers demande aux usagers d’avoir un accès et de pouvoir lire leurs données, quel que soit le site internet visité.

Des extensions Chrome peut respectueuses de la vie privée

Ce n’est pas très rassurant, mais pas forcément si surprenant que cela : l’étude menée par la société Duo Labs donne des chiffres un peu inquiétants concernant la protection de la vie privée sur Chrome. Plus précisément, on apprend que 85% des extensions du navigateur n’ont pas de politique en matière de vie privée.

La société de cybersécurité a pu établir ce constat à partir de l’analyse de 120 463 extensions provenant de Chrome Store. Ce qui est particulièrement inquiétant, c’est qu’un tiers de ces extensions demandent à avoir un accès à l’ensemble des données des usagers à l’occasion de leur navigation.

On apprend aussi par Duo Labs que 32% des extensions qui ont été testées, sollicitent des librairies JavaScript qui possèdent des failles de sécurité connues. Et 9% parviennent à accéder et lire les cookies, parmi lesquels certains permettent d’authentifier l’usager au moment du login.

La possibilité de tester ses extensions pour connaître les risques encourus

Ce qui est encore plus gênant, c’est que c’est quasiment mission impossible pour savoir le type de données qui a été collecté, idem pour faire une réclamation. En effet, 77% des extensions analysées par la société de cybersécurité ne renseignent pas de site où il est envisageable de procéder à ce genre d’actions.

Pour parvenir à ce résultat, Duo Labs s’est servi d’un nouvel outil dénommé CRXcavator, qui permet de recueillir des informations automatisées en lien avec l’analyse des permissions, comme par exemple la présence de vulnérabilités au sein des librairies.

Il est ainsi possible de lancer l’analyse de n’importe quelle extension, simplement en entrant son nom ou son content ID. De cette manière, l’usager peut tester différentes extensions, et savoir si elle représente un risque pour sa vie privée, et s’il faut s’en méfier.

En savoir plus