Gmail n’est pas sécurisé, les extensions du navigateur peuvent voler vos mots de passe

Gmail comporte une faille de sécurité majeure, tout comme des milliers d’autres sites. À cause du modèle d’autorisation déployé sur les navigateurs, les extensions Chrome et Firefox peuvent accéder à des informations sensibles comme les mots de passe des utilisateurs.

Chrome Gmail Extensions Google Firefox Add Ons
©Envato

Après avoir lu cet article, vous aurez peut-être envie de savoir comment supprimer une adresse Gmail. Une équipe de chercheurs de l’université du Wisconsin-Madison a découvert que de nombreux sites web accueillant des millions de visiteurs, notamment Gmail, stockent les mots de passe en clair dans le code source HTML de leurs pages web.

Alors où est le problème ? Les navigateurs sont également en faute dans cette vaste faille de sécurité. En effet, le modèle d’autorisation qui sous-tend les extensions Chrome et les add-ons Firefox viole les principes du moindre privilège et de la médiation complète. Ainsi, les extensions peuvent récupérer les mots de passe de ces sites sans grande difficulté.

À lire > Gmail : Cette astuce vous permet de démasquer les entreprises qui vendent vos données

Les chercheurs expliquent que le problème vient de la pratique consistant “à donner aux extensions de navigateur un accès illimité à l’arborescence DOM des sites“. Cela leur donne ensuite accès à des éléments potentiellement sensibles, tels que les champs de saisie de mots de passe. Certaines sont même programmée pour extraire ces informations automatiquement.

Une extension Chrome qui vole les mots de passe Gmail

Pour vérifier sa trouvaille, l’équipe a mis au point une extension capable de voler les mots de passe en clair à partir du code source du site. Cette extension basé sur GPT, le modèle qui alimente ChatGPT, peut entre autres extraire le code HTML lorsqu’un utilisateur tente de se connecter à une page puis voler le mot de passe.

L’équipe de chercheurs l’a ensuite soumise aux contrôles de sécurité du Chrome Web Store, avec succès. L’extension ne contenant pas de code malveillant évident, l’extension a été jugée conforme par la vérification automatique de Google et uploadée sur la plateforme. Visiblement, les contrôles de sécurité déployés sont insuffisants.

À lire > Google Chrome : ces extensions très populaires cachent des malwares, supprimez-les vite !

Bien évidemment, l’extension a toujours été définie comme “non-publiée” par les chercheurs afin qu’elle ne recueille pas beaucoup de téléchargements. Une fois l’expérience terminée, ils l’ont rapidement supprimée de la boutique.

Quels sites et quelles extensions présentent un danger ?

Dans leur article scientifique publié la semaine dernière, les chercheurs affirment qu’environ 17 300 extensions du Chrome Web Store (12,5 %) disposent des autorisations nécessaires pour extraire des informations sensibles des sites web. Plusieurs d’entre elles, notamment des bloqueurs de publicité comptent des millions d’installations.

Parmi les exemples de sites web où l’absence de protection est mise en évidence dans le rapport, on peut citer :

  • gmail.com – les mots de passe sont visibles en clair dans le code source HTML
  • cloudflare.com – les mots de passe sont visibles en clair dans le code source HTML
  • facebook.com – les données des utilisateurs peuvent être extraites via l’API DOM
  • amazon.com – les détails de carte de crédit et le code postal sont visibles en clair dans le code source de la page.

Source : University of Wisconsin