En règle générale, nous ne soupçonnons les extensions que nous installons dans le navigateur que lorsqu’elles présentent un comportement étrange. Mais des recherches approfondies montrent que plusieurs d’entre elles, tant pour Chrome que pour Firefox, ont recueilli des données auprès de millions d’utilisateurs sourds. Le problème est si grave qu’il a même été baptisé : DataSpii.
Les données recueillies sont les plus diverses : adresses et titres des pages visitées, habitudes de navigation, documents commerciaux, itinéraires de voyage dans des services tels que Booking.com et les sites web des entreprises de la région, photos publiées sur Facebook, etc.
Pratiquement tout ce qui pouvait avoir de la valeur sur le marché a été collecté. Selon Sam Jadali, un chercheur qui a enquêté sur DataSpii, la plupart de ces données ont été commercialisées sur un site web appelé Nacho Analytics. Il est toutefois fort probable que d’autres plateformes seront également utilisées dans le même but.
Jadali possède une société d’hébergement de sites web. Au début de l’année, il a trouvé des données provenant de certains clients de Nacho Analytics. Bien que l’entreprise se présente comme un service de renseignements commerciaux, Jadali a été intrigué par le caractère sensible de ces informations et a commencé à enquêter.
Le résultat de ce travail a été placé dans un rapport nommé DataSpii. En analysant les modèles de données et en parlant à certains utilisateurs qui disposaient d’informations chez Nacho Analytics, le chercheur a soupçonné que des informations pouvaient être recueillies auprès des extensions et a analysé plus de 200 d’entre elles.
Bingo ! Sam Jadali a découvert que certaines extensions collectaient même des données sans que les utilisateurs le sachent ou l’autorisent. Les extensions les plus critiques sont celles-ci :
Si l’on considère uniquement la base d’utilisateurs de Chrome, on estime que ces extensions ont recueilli, ensemble, les données de 4,1 millions de personnes. Le mode d’action est variable : si certains ont commencé à collecter des données immédiatement après l’installation, d’autres ont mis des jours à lancer cette procédure.
La bonne nouvelle est que Google et Mozilla ont déjà supprimé ces extensions du Chrome Web Store et des modules complémentaires de Firefox, respectivement. La mauvaise nouvelle est qu’il y a probablement d’autres extensions qui agissent de la même manière.
Pour cette raison, l’astuce consiste à utiliser le moins d’extensions possible et à donner la préférence à celles des développeurs de bonne réputation.
Dans une note publiée sur son site web, Nacho Analytics indique que sa plateforme a été créée pour recueillir des informations axées sur le marketing et qu’aucune information privée n’est divulguée (comme les noms personnels ou les numéros de carte de crédit). Néanmoins, la société a déclaré qu’elle avait suspendu l’accès à des données potentiellement confidentielles.
