Plus d’un millier d’extensions Chrome pourraient être détournées pour vous suivre à la trace

Cookies tiers
(Crédit photo: Shutterstock)

Selon une nouvelle étude, les extensions de navigateur pourraient permettre à tout cybercriminel initié utilisées comme moyen d'identifier les utilisateurs et de les suivre sur le web.

Les données de navigation et cookies tiers soulèvent la suspicion de tout utilisateur en ligne, ce n’est pas un secret. Au cours des dernières années, nous sommes devenus de moins en moins disposés à supporter chaque atteinte à la vie privée. . Alors que certains prétendent que de la mise en place de tels éléments demeure nécessaire pour garantir des publicités personnalisées, et ainsi maintenir la gratuité des services Internet, d'autres tremblent à l'idée que des entreprises gardent un œil sur nos activités en ligne.

Depuis que Google a annoncé qu'il allait supprimer les cookies tiers, les parties prenantes ont cherché des alternatives viables. L'une de ces solutions consiste à "enregistrer l'empreinte d'un appareil" utilisé pour naviguer sur le web. Ce qu'on appelle le fingerprinting consiste à sauvegarder les caractéristiques principales desdits appareils. A l’instar de la résolution de l'écran, les polices de caractères définies, les performances du GPU, la liste des applications installées… mais aussi celle des extensions de navigateur. 

Une méthode habile mais complexe

Un développeur œuvrant sous le pseudonyme z0ccc est parvenu à trianguler l’ensemble de ces données en matchant certaines propriétés d’extensions de navigateur installées sur un terminal, comme les ressources accessibles sur le web et la comparaison le temps de synchronisation de chaque ressource. Une méthode qui permettrait d’accéder aux empreintes d'un appareil collectées par certaines de ces extensions.

Selon BleepingComputer, qui relate cette expérience, 1 170 extensions présentes sur le Google Chrome Web Store seraient concernées et pourraient subir un détournement sans trop de difficultés. Certaines d’entre elles comptent parmi les plus populaires, à l’image de Grammarly, LastPass ou encore Rakuten.

"C'est définitivement une option viable pour récupérer les empreintes d'un appareil et suivre un utilisateur à la trace", a déclaré z0ccc à BleepingComputer. "Si les propriétés de l’extension sont combinées avec d'autres données utilisateur (comme les agents utilisateur et les fuseaux horaires), les utilisateurs de cette dernière pourraient être très facilement identifiés et ciblés".

Pour autant, il apparaît très difficile de se servir des empreintes récupérées a posteriori, dans la mesure où il faudrait éditer chaque ID des fichiers d’extension acquis. A noter, qui plus est, que cette méthode ne fonctionnerait pas sur Firefox à l’heure actuelle.

Via BleepingComputer

Sead Fadilpašić

Sead is a seasoned freelance journalist based in Sarajevo, Bosnia and Herzegovina. He writes about IT (cloud, IoT, 5G, VPN) and cybersecurity (ransomware, data breaches, laws and regulations). In his career, spanning more than a decade, he’s written for numerous media outlets, including Al Jazeera Balkans. He’s also held several modules on content writing for Represent Communications.