Pour gérer vos consentements :

Extensions de Chrome : Google met la pression sur les développeurs

Chrome annonce vouloir améliorer à la fois la sécurité des extensions de Chrome et prendre des mesures pour accroître la confidentialité des utilisateurs et leur donner un contrôle accru.

La chasse aux extensions abusives

Ainsi, dès Chrome 70, prévu ce mois-ci, Chrome offrira aux utilisateurs une option permettant de contrôler directement les accès d’une extension.

Les utilisateurs seront en mesure de limiter l’accès d’une extension à un domaine spécifique ou à tous les domaines, ou bien simplement d’autoriser l’accès lorsqu’ils cliquent manuellement sur l’extension d’un domaine.

Google reconnait, dans une contribution de blog, que « les autorisations d’hôte ont permis des milliers d’utilisations d’extensions puissantes et créatives, mais elles ont également conduit à un large éventail d’utilisations abusives – malveillantes et non intentionnelles – car elles permettent aux extensions de lire et de modifier automatiquement les données sur des sites Web ».

Haro sur l’obfuscation de code

Les extensions seront également soumises à un contrôle accru lors de leur soumission, en, particulier pour celles qui demandent des autorisations sensibles.

Les développeurs devront donc se plier à un processus de vérification plus strict. « À l’avenir, les extensions qui demandent des autorisations puissantes seront soumises à une vérification de conformité supplémentaire. Nous examinons également de très près les extensions qui utilisent du code hébergé à distance, avec une surveillance continue. Les autorisations de votre extension doivent être aussi étroites que possible et tout votre code doit être inclus directement dans le package d’extension, afin de réduire le temps de révision. »

Google incite également les développeurs à ne pas avoir recours au procédé d’obfuscation pour leurs extensions qui a pour finalité de donner un code dit impénétrable : « À partir d’aujourd’hui, le Chrome Web Store n’autorisera plus les extensions avec code impénétrable. Cela inclut le code du paquet d’extension ainsi que tout code externe ou ressource extrait du Web. Cette politique s’applique immédiatement à toutes les nouvelles propositions d’extension. Les extensions existantes avec code obscurci peuvent continuer à envoyer des mises à jour au cours des 90 prochains jours, mais seront supprimées du Chrome Web Store début janvier si elles ne sont pas conformes. »

Une pratique qui sera la bienvenue puisque Google concède que 70 % des extensions malveillantes et « non conformes aux règles que nous bloquons dans le Chrome Web Store contiennent du code obscurci (impénétrable) ».

Par ailleurs, dès 2019, Google obligera à une vérification en deux étapes pour l’accès au comptes développeurs du Chrome Web Store.

(Crédit Photo : Evan Lorne-Shutterstock)

Recent Posts

Collaboratif : Jamespot étoffe son portefeuille avec Diapazone

L'éditeur logiciel français Jamespot ajoute la brique d'orchestration de réunions Diapazone à son offre collaborative…

1 jour ago

Gestion des secrets : pourquoi les équipes DevOps sont à la peine

Les pratiques DevOps de gestion des secrets d'une majorité d'organisations ne sont pas normalisées et…

2 jours ago

Visioconférence : qui sont les principaux fournisseurs ?

Qui sont les têtes d'affiche de la visioconférence et qu'attendre de leurs offres ? Éléments…

2 jours ago

Fargate : une nouvelle étape dans la transition Arm d’AWS

Le moteur serverless Fargate vient allonger la liste des services AWS exploitables avec les instances…

2 jours ago

Ransomware : l’essor de la cybercriminalité en tant que service

En France, le nombre d'attaques par rançongiciels (ransomwares) a augmenté de 255% en une année,…

2 jours ago

Sécurité du cloud : Google dresse un état des lieux

Le détournement de ressources cloud, par quels moyens et à quelles fins ? Un rapport…

2 jours ago