Des milliers d'extensions Google Chrome seraient capables de voler vos mots de passe

Si vous utilisez Google Chrome, vous avez sans doute téléchargé des extensions, ces programmes qui ajoutent de nombreuses fonctions très utiles au navigateur de base. Méfiez-vous, car elles pourraient vous voler vos mots de passe.

Et ce n'est pas un épiphénomène. Plusieurs milliers de ces extensions téléchargeables sur la boutique de Google Chrome disposeraient des autorisations nécessaires pour récupérer sans problème les mots de passe que vous entrez sur des sites internet, selon une étude publiée le 30 août sur le site de prépublication arXiv.

Un risque majeur, puisque ces mots de passe pourraient ensuite servir à des vols, usurpations d'identité et autres arnaques en tout genre. Ces extensions ne sont pas pour autant des virus: le problème viendrait en fait plutôt des sites web eux-mêmes, selon les chercheurs de l'université du Wisconsin-Madison à l'origine de l'étude.

Des mots de passe lisibles en clair

Une grande partie de ces sites stocke les mots de passe que vous tapez dans leur code HTML, et en clair. C'est-à-dire sans aucune modification et de manière parfaitement lisible par un humain – ou un programme.

Or, de nombreuses extensions Chrome peuvent indirectement consulter le code HTML des sites web, et donc communiquer vos mots de passe, selon les auteurs du texte relayé par le site spécialisé Bleeping Computer. Près de 17.300 extensions, soit 12,5% du total disponible sur la plateforme, auraient cette possibilité d'après l'étude (qui n'a pas encore été relue par un comité de lecture).

Pour appuyer leurs conclusions, les chercheurs ont tenté l'expérience. Ils ont créé une extension Chrome capable de voler les mots de passe de ses utilisateurs selon la méthode décrite, et ils ont essayé de la mettre à disposition des utilisateurs sur le magasin d'extensions de Google.

Le programme, déguisé en assistant virtuel proposant des fonctions similaires à ChatGPT, a passé sans problème les procédures de vérification du Chrome Web Store. Il aurait donc pu voler les mots de passe de tous les utilisateurs qui l'auraient téléchargé – les chercheurs expliquent avoir désactivé la collecte de ces données et rapidement retiré l'application de la boutique de Chrome, mais tous les programmeurs pourraient ne pas être aussi éthiques.

Des sites comme Gmail et Facebook concernés

Et les opportunités sont nombreuses: parmi les 10.000 sites les plus visités, environ 1.100 enregistrent les mots de passe en clair dans leur code HTML, d'après les chercheurs. Des gros noms comme Gmail, Facebook ou Amazon – et 7.300 autres présenteraient des vulnérabilités similaires.

Cette technique est-elle déjà exploitée à l'insu des utilisateurs? Les auteurs de l'étude ont identifié 190 extensions qui stockent déjà les mots de passe. Auprès de Bleeping Computer, un porte-parole de Google a déclaré que l'entreprise étudiait la situation, mais a rappelé que selon la FAQ des extensions Google Chrome, il ne s'agit pas d'un problème de sécurité tant que les autorisations ont été obtenues de manière légitime.