Pour rappel, avant d’installer une extension Chrome depuis la vitrine de téléchargement Chrome Web Store, elle vous demande des permissions comme être en mesure d’avoir accès aux pages web que vous visitez actuellement. Une fois installée, l’extension va donc s’exécuter chaque fois que vous visiterez une page sur laquelle elle a la permission de le faire. Les chercheurs notent qu’il arrive très souvent que ces permissions d’accès soient réglées sur <all_urls>, ce qui signifie que ces extensions ont accès à toutes les pages que vous visitez. De plus, ils expliquent que « certaines de ces permissions sont légitimes, elles sont nécessaires au bon fonctionnement de l’extension, mais il arrive souvent que ces extensions embarquent également du script tierce partie qui collecte des informations sur votre trafic internet ».
Alors que se passe-t-il avec votre historique de navigation qui est suivi ? Les chercheurs avancent que les données de suivi de l’historique de la navigation sont rendues disponibles par le biais de services analytiques auxquels quiconque peut avoir accès en s’inscrivant et en payant une souscription mensuelle pour l’analyser. Cependant, les chercheurs expliquent ne pas très bien savoir ce qu’il advient de certaines données comme vos cookies, « mais il y a des chances qu’ils soient utilisés pour améliorer le profil de l’utilisateur afin de faire des analyses encore plus précises en termes de localisation, âge et intérêts ». Ils confirment également que, grâce à ces services, ils ont été en mesure de confirmer que même les modèles de navigation d’un utilisateur étaient suffisants pour établir une empreinte de l’historique de navigation spécifique de cet utilisateur.
De plus, pour les personnes faisant appel à des services qui fournissent des liens à partager comme Dropbox ou Google Drive, ces services de suivi « sont en mesure d’obtenir un accès à toutes les informations partagées » : « à de nombreuses reprises, vous partagez des informations qui pourraient être confidentielles, comme un rapport financier, un contrat interne ou un document. Grâce à ces services analytiques, il est possible de trouver les liens vers ces documents et y accéder à votre insu et sans votre consentement ».
Comment les chercheurs en sont-ils arrivés là ? Ils se sont servis d’un des services qui fournit des informations recueillies par les extensions Chrome et ont été en mesure de confirmer qu’il a :
- lancé des scripts de suivi dans une instance séparée de celle de l’extension tout en étant en mesure d’avoir accès aux informations de vos onglets. En procédant de cette manière, votre trafic réseau ou votre page web ne divulguera pas que des requêtes sont lancées par un tiers ;
- utilisé différentes méthodes pour empaqueter les données afin de les rendre difficiles à identifier comme base64(base64(payload)) et btoa(pako.deflate(root.dca_compressor.utf16to8(JSON.stringify(requests)), {to: "string"})) ;
- certains scripts de suivi utilisent différents sous-domaines pour chaque extension, ce qui rend difficile de voir qu’ils utilisent les mêmes solutions pour pister les utilisateurs et les rend donc plus difficiles à bloquer ;
- les extensions activent le suivi par défaut, certaines vous donnent une opportunité de le désactiver, mais il est activé au départ ;
- certains services de suivi utilisent des SDK de script de suivi dans l’extension. Cependant, la première fois qu’il est exécuté, il remplace le code par du JavaScript, le stocke dans le fichier de sauvegarde de l’extension et conserve les références. « Cela permet à l’extension d’exécuter constamment un code arbitraire mis à jour et contrôlé par une tierce partie, code qui n’a pas été inclus dans l’extension au départ » ;
- ils envoient tout de vous, y compris des relations entre les sites qui ne sont connus que par les utilisateurs eux-mêmes dans la mesure où les pages ne sont liées d’aucune façon. Par exemple, l’utilisateur ouvre un nouvel onglet pour se rendre à monmagnifiquesite.fr (cette information est envoyée), puis il change l’adresse sans avoir à cliquer sur un des liens fournis sur la page qu’il a en face de lui, mais en modifiant directement dans la barre d’adresse et en mettant encoreplusgenial.fr (l’information ‘utilisateur est parti de monmagnifiquesite.fr pour se rendre à encoreplusgenial.fr’ est envoyée), par la suite il visite un lien partagé Dropbox où il y a des photos de famille que seules les personnes qui ont le lien peuvent voir (l’information ‘utilisateur a ouvert un nouvel onglet et voici le lien URL Dropbox complet qui a été partagé’ est envoyée, bien entendu avec le lien qui a été ouvert), l’utilisateur s’authentifie sur un site en se servant de son compte Facebook (l’information ‘utilisateur est allé sur le site X et voici le access_token privé pour accéder au compte Facebook’ est envoyée).
Mais les extensions acceptent-elles d'utiliser ce code de suivi ? Les chercheurs expliquent que de nombreuses extensions se voient payées par des services tiers pour installer un code de suivi : « nous avons vu quelques indications sur les forums d’extensions Chrome que les montants oscillent autour de 0,04 $ par utilisateur/mois. Pour les plugins avec des dizaines, voire des centaines de milliers d'utilisateurs, cela équivaut à une quantité importante de revenus mensuels ».
Aussi, les chercheurs conseillent d’abord de désinstaller toutes les extensions dans lesquelles vous n’avez pas confiance ou si vous ne savez pas exactement ce qu’elles font. « Rendez-vous à l’adresse chrome://extensions et appuyez sur le lien Détails de chaque extension que vous voulez conserver et voyez s’il y est fait mention des comportements cités en sus ». La version Pro de Dropbox permet aux utilisateurs de définir une date d’expiration ainsi qu’un mot de passe pour les liens partagés. Les administrateurs Dropbox Business peuvent limiter l’accès à un lien partagé aux membres de leur équipe, mais également avoir accès au journal d’accès du lien et désactiver un lien si une activité suspecte est détectée. De son côté, Google Drive permet aux utilisateurs figurant dans la même entreprise d’avoir accès aux liens partagés, ce qui constitue pour les chercheurs « un pas dans la bonne direction ».
Source : billet Detectify