articles utiles

Voici un moyen de vérifier que vos extensions Chrome sont sûres

À la lumière de la récente fuite des extensions de navigateur DataSpii, où des millions d’utilisateurs suivaient et vendaient leurs données au moyen d’extensions de navigateur apparemment inoffensives, il vaut la peine de vérifier les autres modules complémentaires Chrome que vous avez peut-être déjà installés ou que vous envisagez d’installer. sur tous les mauvais acteurs.

Pour ce faire, nous utiliserons un logiciel léger appelé Chrome Extension Source Viewer, capable de détecter des comportements potentiellement obscurs, tels que la possibilité d'exécuter du code à distance.

Avant de passer aux étapes, nous devons souligner que cet outil peut ne pas attraper toutes les extensions de navigateur dangereuses. Les add-ons DataSpii se sont échappés avec un suivi des données généralisé en trompant Google et en cachant leur activité malveillante, et il est possible que d'autres le puissent aussi. En outre, l'outil peut identifier les extensions parfaitement correctes. Ce n'est qu'un élément de votre sac à outils de sécurité; il faudra encore faire preuve de diligence raisonnable pour séparer les bonnes extensions des mauvaises extensions, mais au moins, vous aurez une meilleure idée de ce que vous souhaitez rechercher.

Initiation à Chrome Extension Source Viewer

  1. Installer le module complémentaire Chrome Extension Source Viewer
  2. Ouvrez la page du Chrome Web Store pour chaque extension à vérifier.
  3. Lorsque vous êtes sur la page du Chrome Web Store pour une extension, cliquez sur l’icône «CRX» de la visionneuse de source d’extension Chrome située à côté de la barre d’URL.
  4. Cliquez sur «Voir la source».
  5. Attendez que la nouvelle page soit complètement chargée, puis recherchez et ouvrez le fichier «manifest.json».
  6. Appuyez sur F3 ou sur «CTRL + F» pour ouvrir la recherche de page et recherchez «unsafe-eval».

Qu'est-ce que ça veut dire? La stratégie de sécurité du contenu «unsafe-eval» indique qu’une extension particulière peut exécuter du code distant. Cela peut représenter un risque pour la sécurité en fonction de ce que fait réellement l’extension - une erreur assez importante pour être soulignée, à savoir que Mozilla n’autorise pas les extensions Firefox dans son répertoire configurées comme suit:

Encore une fois, "unsafe-eval" ne signifie pas nécessairement qu'une extension fonctionne de mauvaise foi. Cependant, cela indique que vous voudrez peut-être examiner de plus près cette extension. Rechercher sur le Web pour voir s'il y a des rapports problématiques à ce sujet. Si vous souhaitez réduire le nombre d'extensions de navigateur que vous utilisez - une excellente pratique de sécurité -, cela peut vous aider à identifier les extensions potentielles que vous n'utilisez pas vraiment et que vous pouvez supprimer en toute sécurité.