Nous devons tous prendre des mesures de bon sens pour garantir la sécurité de nos données : utiliser des mots de passe forts avec nos comptes et ne jamais réutiliser les mots de passe ; utiliser l’authentification à deux facteurs sur tout compte qui la propose ; et évitez de cliquer sur des liens étranges dans les e-mails ou les SMS. Mais même lorsque vous suivez toutes ces règles, vos données personnelles peuvent toujours être en danger, strictement parce que les services sur lesquels vous comptez ne respectent pas eux-mêmes ces règles.
Certains sites Web mettent vos mots de passe en danger
Des chercheurs de l’Université du Wisconsin-Madison ont découvert qu’un nombre inquiétant d’extensions de navigateur peuvent accéder aux informations sensibles que vous saisissez sur des sites Web. Pensez aux mots de passe, aux informations de carte de crédit et aux numéros de sécurité sociale.
L’équipe à l’origine de la découverte affirme qu’elle ne cherchait pas à révéler une histoire de sécurité. Au lieu de cela, ils « jouaient avec les pages de connexion », en particulier les pages de connexion de Google, lorsqu’ils ont découvert que le code source HTML des sites pouvait voir les mots de passe qu’ils avaient saisis en texte brut. Ils se sont tournés vers d’autres sites Web – plus de 7 000, semble-t-il – et ont découvert qu’environ 15 % d’entre eux stockaient également des informations sensibles en texte brut. Cela représente plus de 1 000 sites Web exposant des données importantes.
Bien entendu, cela n’est pas censé se produire : lorsque vous saisissez des données sensibles sur un site Web (par exemple, votre mot de passe sur la page de connexion de Google), ce site ne devrait pas du tout voir votre mot de passe. En bref, les sites confirment vos mots de passe via des algorithmes de hachage, essentiellement en mélangeant votre mot de passe dans un code qui peut être vérifié par rapport au code que le site stocke de son côté. Ils peuvent alors confirmer que vous avez saisi le bon mot de passe sans jamais exposer le texte réel. En stockant des éléments tels que des mots de passe et des numéros de sécurité sociale en texte brut, ces sites exposent ces données à toute personne avertie.
Surtout, cela inclut les extensions de navigateur. Les chercheurs affirment que 17 300 extensions Chrome, soit 12,5 % des extensions disponibles en téléchargement sur le navigateur de Google, disposent des autorisations nécessaires pour afficher ces données sensibles en texte brut. Pensez aux autorisations que vous ignorez lors de la configuration d’une nouvelle extension, y compris les autorisations qui donnent aux extensions un accès complet pour voir et modifier ce que vous saisissez sur une page Web. Les chercheurs n’ont révélé aucun nom d’extension, car la situation n’est pas nécessairement la faute des extensions, mais compte tenu de leur portée, il est possible que certaines des extensions que vous utilisez puissent accéder aux informations sensibles que vous saisissez sur certains sites.
Encore une fois, les extensions légitimes ne sont pas la priorité : il existe plutôt le risque qu’un développeur crée une extension dans le but de récupérer les informations sensibles stockées en texte brut. Bien que les chercheurs affirment qu’aucune extension n’exploite activement cette vulnérabilité pour l’instant, il ne s’agit pas d’un problème théorique. Les chercheurs ont créé une extension à partir de zéro qui pourrait extraire ces données utilisateur, les ont téléchargées sur le Chrome Web Store et l’ont fait approuver. Ils l’ont immédiatement supprimé, mais ont prouvé qu’il était possible pour un pirate informatique d’obtenir une extension aussi malveillante sur la boutique officielle. Même si le pirate informatique n’a pas créé l’extension, il pourrait acquérir une extension légitime avec une base d’utilisateurs existante, ajuster le code pour tirer parti de la vulnérabilité et lancer l’extension mise à jour sur des utilisateurs sans méfiance. Cela arrive tout le temps, et pas seulement sur Chrome.
Comment protéger vos données sensibles contre les extensions de navigateur malveillantes
Malheureusement, vous ne pouvez pas faire grand-chose pour empêcher ces sites de stocker vos mots de passe, vos cartes de crédit et vos numéros de sécurité sociale en texte brut. L’espoir est qu’à la suite de ces découvertes, les sites Web amélioreront leur sécurité et élimineront les vulnérabilités de leur côté. Mais c’est leur faute, pas vous.
Vous pouvez cependant prendre certaines mesures pour atténuer les dégâts. Tout d’abord, assurez-vous de limiter votre utilisation des extensions de navigateur. Moins vous utilisez d’extensions, moins vous risquez d’en utiliser une malveillante. Utilisez uniquement des extensions en lesquelles vous avez pleinement confiance et vérifiez fréquemment les mises à jour. Si l’extension passe entre les mains d’un nouveau développeur, vérifiez ce nouveau propriétaire avant de continuer à l’utiliser. Vous pouvez même désactiver vos extensions lorsque vous partagez des informations sensibles avec des sites Web. Si vous devez fournir votre numéro de sécurité sociale sur un formulaire Web officiel, par exemple, vous pouvez désactiver vos extensions pour les empêcher de lire les données.
Vous pouvez également limiter les données que vous partagez qui pourraient être stockées en texte brut. Si vous en avez la possibilité, utilisez des clés d’accès au lieu de mots de passe, car les clés d’accès n’utilisent en réalité aucune donnée en texte brut que les pirates pourraient voler. De même, utilisez des systèmes de paiement sécurisés, tels qu’Apple Pay ou Google Pay, qui ne partagent pas les informations de votre carte de crédit avec le site Web sur lequel vous effectuez un paiement. Le but du jeu est d’éviter de saisir vos informations sensibles sauf si cela est absolument nécessaire, puis de réduire le nombre de parties pouvant voir ces informations.
