Extensions de Chrome : Google met la pression sur les développeurs

MalwaresNavigateursPolitique de sécuritéPoste de travailSécurité

Google annonce plusieurs changements relatifs à la manière dont le Chrome Web Store traite les extensions. Cap sur plus de sécurité et de confidentialité des données utilisateurs dès Chrome 70.

Chrome annonce vouloir améliorer à la fois la sécurité des extensions de Chrome et prendre des mesures pour accroître la confidentialité des utilisateurs et leur donner un contrôle accru.

La chasse aux extensions abusives

Ainsi, dès Chrome 70, prévu ce mois-ci, Chrome offrira aux utilisateurs une option permettant de contrôler directement les accès d’une extension.

Les utilisateurs seront en mesure de limiter l’accès d’une extension à un domaine spécifique ou à tous les domaines, ou bien simplement d’autoriser l’accès lorsqu’ils cliquent manuellement sur l’extension d’un domaine.

Google reconnait, dans une contribution de blog, que « les autorisations d’hôte ont permis des milliers d’utilisations d’extensions puissantes et créatives, mais elles ont également conduit à un large éventail d’utilisations abusives – malveillantes et non intentionnelles – car elles permettent aux extensions de lire et de modifier automatiquement les données sur des sites Web ».

Haro sur l’obfuscation de code

Les extensions seront également soumises à un contrôle accru lors de leur soumission, en, particulier pour celles qui demandent des autorisations sensibles.

Les développeurs devront donc se plier à un processus de vérification plus strict. « À l’avenir, les extensions qui demandent des autorisations puissantes seront soumises à une vérification de conformité supplémentaire. Nous examinons également de très près les extensions qui utilisent du code hébergé à distance, avec une surveillance continue. Les autorisations de votre extension doivent être aussi étroites que possible et tout votre code doit être inclus directement dans le package d’extension, afin de réduire le temps de révision. »

Google incite également les développeurs à ne pas avoir recours au procédé d’obfuscation pour leurs extensions qui a pour finalité de donner un code dit impénétrable : « À partir d’aujourd’hui, le Chrome Web Store n’autorisera plus les extensions avec code impénétrable. Cela inclut le code du paquet d’extension ainsi que tout code externe ou ressource extrait du Web. Cette politique s’applique immédiatement à toutes les nouvelles propositions d’extension. Les extensions existantes avec code obscurci peuvent continuer à envoyer des mises à jour au cours des 90 prochains jours, mais seront supprimées du Chrome Web Store début janvier si elles ne sont pas conformes. »

Une pratique qui sera la bienvenue puisque Google concède que 70 % des extensions malveillantes et « non conformes aux règles que nous bloquons dans le Chrome Web Store contiennent du code obscurci (impénétrable) ».

Par ailleurs, dès 2019, Google obligera à une vérification en deux étapes pour l’accès au comptes développeurs du Chrome Web Store.

(Crédit Photo : Evan Lorne-Shutterstock)

Lire aussi :