Des extensions pour les navigateurs Chrome et Firefox ont récupéré et transmis à des tiers les données personnelles d’environ 4 millions d’internautes.
Les utilisateurs de Google Chrome et de Mozilla Firefox téléchargent souvent des extensions pour ajouter des fonctionnalités aux navigateurs, comme la mémorisation de mots de passe ou le blocage de publicités. Ces outils ne sont toutefois pas toujours sécuritaires.
Une enquête menée par le Washington Post en collaboration avec un chercheur en sécurité informatique a révélé que 8 extensions installées sur Google Chrome et Firefox collectaient et revendaient des informations personnelles à l’insu des internautes.
Les programmes enregistraient des historiques complets d’achats en ligne, des dossiers médicaux, des numéros de cartes de crédit et des déclarations fiscales, selon le rapport du chercheur indépendant Sam Jadali.
Les extensions transmettaient les renseignements au site Nacho Analytics, qui se présente comme un service de recherche de données stratégiques à des fins de marketing. Nacho vend des rapports détaillés de fréquentation de sites web à des entreprises pour environ 50 dollars américains par mois.
Les modules ont aussi récupéré les données d’une cinquantaine d’entreprises, selon Jadali. Ces informations comprennent notamment les activités d’employés en temps réel, des codes d’accès à des réseaux privés, des codes sources et des clés d’interface de programmation (clés API).
Alertés par le Washington Post, Google et Mozilla ont désactivé les extensions malveillantes cette semaine. Des représentants des deux entreprises ont déclaré que les pratiques décrites dans le rapport de Jadali violaient leurs politiques, et ont précisé que leurs équipes procèdent toujours à des vérifications rigoureuses avant d’accepter des extensions.
Des mesures probablement insuffisantes, selon Jadali. Le chercheur a constaté que les concepteurs de deux des extensions ont attendu 24 jours avant d’activer la récupération de données afin que Google et Mozilla ne remarquent rien lors du processus de validation.
Google a récemment annoncé son intention de réduire la quantité de données auxquelles les applications tierces ont accès. Mozilla a déclaré vendredi avoir créé une liste d’extensions vérifiées et approuvées par son département de sécurité afin de mieux protéger ses utilisateurs, selon Forbes.
L’entreprise tente aussi de faciliter la signalisation d’extensions problématiques et investit dans des mesures de sûreté supplémentaires.
Dans un avis publié sur son site, Nacho Analytics indique avoir pris connaissance de cette « situation inhabituelle », et assure qu’aucun de ses clients légitimes n’a consulté les données confidentielles.
L’entreprise enquête actuellement pour comprendre comment de tels renseignements se sont retrouvés sur son site. Par prudence, elle refuse pour le moment toute nouvelle inscription à ses services.
Lire aussi :
Fuite de données : enquête sur l’affaire Desjardins
Une brèche de sécurité sur cinq en entreprise causée par une erreur à l’interne
