articles utiles

Pourquoi les extensions Chrome doivent-elles accéder à toutes mes données?

Cher Goldavelez.com,

Je suis un grand fan de Google Chrome et j'adore utiliser des extensions. Cependant, j'ai remarqué que beaucoup d'entre eux demandent l'autorisation d'accéder à toutes mes données sur chaque site. Pourquoi est-ce? Devrais-je m'inquiéter?

Cordialement,

Peur de s'étendre

Cher AE,

Nous sommes là avec vous. Les extensions sont un moyen formidable de personnaliser votre expérience Chrome, mais certaines d'entre elles demandent beaucoup de données sans raison apparente. J'ai discuté avec le programmeur Joe Flores et le cofondateur de Meldium, Boris Jabes, afin de mieux comprendre le fonctionnement des autorisations et de savoir si cela vous préoccupe ou non.

Pourquoi les extensions Chrome ont-elles besoin d'autorisations?

Les extensions Chrome utilisent des autorisations pour vous dire exactement à quelles données elles accèdent sur les sites Web que vous visitez. Les extensions ont 10 autorisations différentes allant de "votre emplacement physique" à "toutes les données de votre ordinateur et les sites Web que vous visitez". Ils sont divisés en trois niveaux d'alerte: Elevé (accès à tout ce qui est en ligne et sur votre ordinateur), Moyen (accès à la plupart des données sur des sites Web) et Faible (accès à des éléments très spécifiques tels que les signets, l'historique ou l'emplacement).

Par exemple, une extension telle que Pocket doit avoir accès à "Vos données sur tous les sites Web" et à "Vos onglets et votre activité de navigation". Cela semble beaucoup, mais comme Pocket est un service en lecture-après, il a besoin de ces autorisations pour fonctionner. Sans eux, il ne pourrait pas enregistrer le lien URL depuis le site sur lequel vous vous trouvez.

Alors, pourquoi certaines extensions ont-elles besoin d'un accès plus large que d'autres? Jabes note qu'une partie du problème est simplement le libellé utilisé par Chrome:

Les avertissements de Chrome lorsque vous installez une extension sont trop prudents dans leur texte. Par exemple, une des extensions que j'utilise, ChromeReload, est un outil très simple qui demande "Vos données sur tous les sites Web" et "Vos onglets et votre activité de navigation". Tout ce dont vous avez besoin est d’attacher un marqueur sur chaque onglet pour garder une trace du dernier rechargement, mais Chrome ne fournit pas d’invite "polie" pour cela.

En termes simples, Chrome n'offre aucune granularité avec les demandes d'autorisations. Il s'agit d'une approche tout ou rien pour les fabricants d'extensions. Parfois, les demandes d'autorisations plus larges sont simplement plus faciles à programmer.

La triste vérité est qu’il est assez difficile de vraiment localiser une extension qui a besoin des autorisations nécessaires. C'est parfois évident: avec un lecteur RSS tel que Feedly, l'extension ne peut fonctionner sans accéder à "vos données sur tous les sites Web" car c'est la permission fondamentale sur laquelle elle repose. Chaque fois que vous visitez un site, un peu de code JavaScript s'exécute et Feedly fait son travail. Pour que cela fonctionne correctement, il doit être exécuté sur tous les sites Web. Mais d'autres fois, ce n'est pas si facile à dire.

Quand faut-il être prudent quant aux extensions que vous installez?

Les avertissements concernant les autorisations de Chrome sont suffisamment vagues pour provoquer une alarme lorsque vous installez une extension à peu près. Il est donc bon de faire attention à ce que vous faites. Pour la plupart, le bon sens règne ici: si une extension demande des autorisations déraisonnables qui n’ont aucun sens, vous ne voudrez probablement pas l’installer.

Cela dit, à peu près toutes les extensions qui demandent toutes les données de votre ordinateur et des sites Web que vous visitez méritent d’être examinées attentivement. Ces extensions ne sont pas intrinsèquement mauvaises. Toute extension, comme l'outil de capture d'écran Lightshot, qui accède à votre disque dur a besoin de cette autorisation. Mais il vaut la peine de prêter une attention particulière à toute extension qui demande des données sur votre ordinateur.

Heureusement, une extension capable de vraiment effacer vos données va déclencher des alarmes. Notes de Flores:

Chrome vous invitera à "accéder à vos données sur tous les sites Web", ce qui semble vraiment effrayant, mais qui est techniquement BS: l'ampleur même de la plupart des API requises pour les grands joueurs (Facebook, Twitter, etc.) se traduirait par une grande, plugin plus lourd qui déclencherait des cloches d’alarme. Personne ne serait probablement capable de mettre suffisamment de code dans un seul plugin pour obtenir "toutes" vos informations et avoir toujours un plugin fonctionnel en JavaScript.

Même si une extension peut ne pas contenir vos données, il est certainement possible de saisir des informations spécifiques, telles qu'un mot de passe. Par conséquent, avant de télécharger quoi que ce soit, il est utile de consulter les critiques d'une extension pour voir ce que les autres utilisateurs disent. Il est fort probable que quelqu'un remarquera rapidement une extension excessive.

Ce n'est pas un système parfait, mais dans la plupart des cas, même les extensions qui demandent l'accès à toutes vos données sur des sites Web peuvent être utilisées en toute sécurité. Il est regrettable que Chrome n'autorise pas d'autorisations plus spécifiques, mais avec un peu de bon sens, vous ne devriez pas rencontrer de problèmes.

Si vous voulez être très prudent, installez uniquement des extensions d’auteurs vérifiés. Vous verrez une petite coche sur la page du Chrome Web Store de l'extension qui confirme son authenticité. Cependant, toutes les "bonnes" extensions n'ont pas cette vérification. Par exemple, LastPass n’a pas de vérification, même s’il s’agit d’une extension de confiance. Il n’est pas difficile d’être vérifié, mais cela vous aide au moins à séparer les extensions officielles des extensions non officielles.

Si vous avez quelques connaissances techniques, vous pouvez également consulter le code d'une extension pour voir ce qu'il fait ou installer une extension telle que Extension Gallery pour inspecter facilement le code. Vous pouvez également consulter de plus près le code qui provoque les avertissements relatifs aux autorisations de Chrome sur le site du développeur.

Bonne chance,

Goldavelez.com