Des chercheurs ont découvert que les extensions Chrome peuvent dérober des mots de passe en texte brut et que Google l’autorise malgré lui. Plus d’un millier de sites populaires stockent les mots de passe en texte brut, ce qui veut dire que 17 300 extensions sont possiblement dangereuses !
Google Chrome ne cesse de s’enrichir avec le temps. Le navigateur s’est notamment offert une fonctionnalité de Safari mais aujourd’hui, tout autre sujet bien plus inquiétant. Des chercheurs de l’Université du Wisconsin-Madison ont développé une extension pour voler les mots de passe en texte brut. Le pire ? La firme de Mountain View l’autorise, peut-être sans le savoir.
À lire > Chrome 115 : mode de lecture, économiseur de RAM, quelles sont les nouveautés ?
Les chercheurs réussissent à contourner le protocole Manifest V3
Selon les chercheurs, Chrome a des privilèges plus élevés qu’il ne le devrait. Ce qui veut dire que les extensions peuvent récupérer les éléments entrés dans les champs de saisie du texte. Beaucoup de sites populaires enregistrent les mots de passe de leurs utilisateurs en texte brut dans le code HTML de leurs pages, les extensions peuvent les voir.
Les chercheurs ont développé une extension qui manipule l’API DOM pour extraire le texte du champ de saisie d’un site quand la victime tape. Ce qui, vous vous en doutez, contourne totalement les mesures de sécurité pour obscurcir des éléments sensibles comme les mots de passe.
Pourtant, Google a lancé Manifest V3 censé réduire les abus aux API. Mais selon les chercheurs, ce protocole n’offre aucune protection entre les extensions et les sites web : les scripts de contenu restent vulnérables.
Pour dévoiler cette faille, les chercheurs ont développé une extension sous format d’assistant ChatGPT sans code malveillant, donc conforme à Manifest V3. Google l’a acceptée puis ajoutée à son store. Bien évidemment, elle a été immédiatement retirée par les chercheurs et personne ne l’a téléchargée !
À lire > Google Chrome : ces extensions très populaires cachent des malwares, supprimez-les vite !
7300 sites vulnérables au vol de mots de passe
Selon les chercheurs, plus d’un millier de sites populaires dans le monde stockent les mots de passe en texte brut dans le code source HTML. 7300 autres sites sont vulnérables à l’accès à l’API DOM qui permet l’extraction directe des saisies. Environ 17 300 extensions Chrome, soit 12,5%, peuvent légitimement extraire ces informations sensibles via ces autorisations accordées par Google. On trouve même des bloqueurs de publicité dans le lot, des extensions populaires que YouTube essaie d’interdire.
Reste à espérer que Google soit mis au fait de cette découverte et corrige cette faille très grave.