Sécurité

Les extensions Chrome et Firefox ont vendu les données de 4 millions d’utilisateurs

En règle générale, nous ne soupçonnons les extensions que nous installons dans le navigateur que lorsqu’elles présentent un comportement étrange. Mais des recherches approfondies montrent que plusieurs d’entre elles, tant pour Chrome que pour Firefox, ont recueilli des données auprès de millions d’utilisateurs sourds. Le problème est si grave qu’il a même été baptisé : DataSpii.

Les données recueillies sont les plus diverses : adresses et titres des pages visitées, habitudes de navigation, documents commerciaux, itinéraires de voyage dans des services tels que Booking.com et les sites web des entreprises de la région, photos publiées sur Facebook, etc.

Pratiquement tout ce qui pouvait avoir de la valeur sur le marché a été collecté. Selon Sam Jadali, un chercheur qui a enquêté sur DataSpii, la plupart de ces données ont été commercialisées sur un site web appelé Nacho Analytics. Il est toutefois fort probable que d’autres plateformes seront également utilisées dans le même but.

Jadali possède une société d’hébergement de sites web. Au début de l’année, il a trouvé des données provenant de certains clients de Nacho Analytics. Bien que l’entreprise se présente comme un service de renseignements commerciaux, Jadali a été intrigué par le caractère sensible de ces informations et a commencé à enquêter.

  DuQu, un ver dérivé de Stuxnet, envoie des données volées à l'aide d'images

Le résultat de ce travail a été placé dans un rapport nommé DataSpii. En analysant les modèles de données et en parlant à certains utilisateurs qui disposaient d’informations chez Nacho Analytics, le chercheur a soupçonné que des informations pouvaient être recueillies auprès des extensions et a analysé plus de 200 d’entre elles.

Bingo ! Sam Jadali a découvert que certaines extensions collectaient même des données sans que les utilisateurs le sachent ou l’autorisent. Les extensions les plus critiques sont celles-ci :

  • Hover Zoom : Extension Chrome qui permet de zoomer sur les images ;
  • SpeakIt : Extension Chrome qui convertit le texte en voix dans un maximum de six langues ;
  • Super Zoom : pour Chrome et Firefox, également zoomer sur l’image ; a été suspendu par Google et Mozilla au premier trimestre ;
  • Fairshare Unlock : extension pour Chrome et Firefox qui promet de libérer l’accès aux contenus premium ;
  • SaveFrom.net Helper : disponible pour Firefox, il permet de télécharger du contenu à partir de services comme YouTube, Vimeo et SoundCloud ;
  • PanelMeasurement : Extension Chrome qui offre des récompenses pour les réponses aux enquêtes en ligne ;
  • Panel Community Surveys : pour Chrome, offre également des récompenses pour les enquêtes en ligne ;
  • Branded Surveys : pour Chrome, même objectif que les deux extensions précédentes.
  •   Reddit subit une attaque coordonnée et est inondé de messages pro-Trump

    Si l’on considère uniquement la base d’utilisateurs de Chrome, on estime que ces extensions ont recueilli, ensemble, les données de 4,1 millions de personnes. Le mode d’action est variable : si certains ont commencé à collecter des données immédiatement après l’installation, d’autres ont mis des jours à lancer cette procédure.

    La bonne nouvelle est que Google et Mozilla ont déjà supprimé ces extensions du Chrome Web Store et des modules complémentaires de Firefox, respectivement. La mauvaise nouvelle est qu’il y a probablement d’autres extensions qui agissent de la même manière.

    Pour cette raison, l’astuce consiste à utiliser le moins d’extensions possible et à donner la préférence à celles des développeurs de bonne réputation.

    Dans une note publiée sur son site web, Nacho Analytics indique que sa plateforme a été créée pour recueillir des informations axées sur le marketing et qu’aucune information privée n’est divulguée (comme les noms personnels ou les numéros de carte de crédit). Néanmoins, la société a déclaré qu’elle avait suspendu l’accès à des données potentiellement confidentielles.

      Captcha en vidéo ? Maintenant, il y a
  • A propos de l'auteur

    Véronique

    La trentaine, maman de deux petits monstres de 10 ans. Je pèse chaque jour le pour et le contre dans l'utilisation des écrans pour mes bambins !
    J'écris souvent depuis les transports en commun (#teamTablette).

    Laisser un commentaire