Google vient d’annoncer aujourd’hui qu’il va mettre en œuvre de nouvelles règles sur la façon dont les développeurs publient leurs extensions. Google Chrome va également gérer différemment les extensions qui nécessitent beaucoup de permissions, à partir de maintenant. Ceci afin de renforcer la sécurité de leur navigateur. Personne ne devrait être surpris d’apprendre que les extensions sont l’une des principales sources de cyberattaques. Les pirates utilisent des extensions malveillantes pour accéder aux données privées des utilisateurs.
Au fil des ans, Chrome a considérablement amélioré ses fonctions de sécurité
Chrome a été capable de détecter les extensions potentiellement dangereuses avant même qu’elles ne soient publiées sur le Web Store. Google a également fait en sorte que, lorsque les extensions sont installées, elles ne puissent plus causer de dommages. Dans la version 70 de Chrome, les utilisateurs peuvent limiter l’accès donné aux hôtes de leurs propres listes personnalisées. Cette mesure vise à empêcher les extensions de suivre les visites des sites des utilisateurs. Tout le monde sait que les extensions peuvent manipuler la manière dont les pages Web interagissent avec les utilisateurs. Les extensions malveillantes peuvent manipuler les sites Web d’une manière qui peut nuire aux ordinateurs. Il est presque impossible de contrôler chaque extension et chaque site Web visité. Pour faciliter cette situation, les utilisateurs pourront choisir de ne donner à une extension qu’un accès à la page web en cours en un seul clic.
Google explique : « Si les autorisations d’hôte ont permis des milliers de cas d’utilisation d’extension puissants et créatifs, elles ont également conduit à un large éventail d’utilisations abusives, à la fois malveillantes et involontaires, car elles permettent aux extensions de lire et de modifier automatiquement les données sur les sites Web. » Les extensions qui nécessitent des autorisations pour les informations sensibles, que Google qualifie de « permissions puissantes », feront désormais l’objet d’un examen plus strict. Naturellement, l’entreprise surveillera aussi de près les extensions qui ont hébergé leur code sur un serveur distant. Dans d’autres voies, Google indique qu’il va affiner les API et publier des algorithmes plus sophistiqués. Les utilisateurs pourront ainsi mieux contrôler les données qu’ils partagent avec les extensions qu’ils utilisent.
À partir de 2019, Google exigera des développeurs qu’ils sécurisent leurs comptes à l’aide d’une authentification à 2 facteurs
Cela empêchera les pirates d’avoir accès au compte d’un développeur et d’injecter des logiciels malveillants dans le code. Les développeurs ne pourront plus télécharger leurs extensions ayant un code obscur (le terme officiel est code obfusqué) à partir d’aujourd’hui. Il reste encore quelques mois avant que ce changement ne soit effectif. Les programmeurs brouillent leur code source de manière à rendre plus difficile son vol par d’autres. Le programmeur peut ne pas avoir de mauvaises intentions en obfusquant son code, mais cela crée tout de même des problèmes pour Google. La mise en place d’un tel processus rend difficile l’accès à l’information. Ce processus rend difficile pour le géant du silicium de déchiffrer ce que le code est censé faire. De plus, 70 % des extensions infestées de logiciels malveillants et celles qui tentent de contourner le système de surveillance de Google utilisent du code obfusqué. Google supprimera toutes les extensions du Web Store dans les 3 prochains mois, 90 jours pour être précis. Comme si Chrome ne pouvait pas s’améliorer, ils introduisent de telles politiques pour assurer la sécurité de leurs utilisateurs. Pas étonnant que Chrome soit le navigateur Web le plus populaire au monde.