Extensions de Chrome : Google met la pression sur les développeurs

Chrome annonce vouloir améliorer à la fois la sécurité des extensions de Chrome et prendre des mesures pour accroître la confidentialité des utilisateurs et leur donner un contrôle accru.

La chasse aux extensions abusives

Ainsi, dès Chrome 70, prévu ce mois-ci, Chrome offrira aux utilisateurs une option permettant de contrôler directement les accès d’une extension.

Les utilisateurs seront en mesure de limiter l’accès d’une extension à un domaine spécifique ou à tous les domaines, ou bien simplement d’autoriser l’accès lorsqu’ils cliquent manuellement sur l’extension d’un domaine.

Google reconnait, dans une contribution de blog, que « les autorisations d’hôte ont permis des milliers d’utilisations d’extensions puissantes et créatives, mais elles ont également conduit à un large éventail d’utilisations abusives – malveillantes et non intentionnelles – car elles permettent aux extensions de lire et de modifier automatiquement les données sur des sites Web ».

Haro sur l’obfuscation de code

Les extensions seront également soumises à un contrôle accru lors de leur soumission, en, particulier pour celles qui demandent des autorisations sensibles.

Les développeurs devront donc se plier à un processus de vérification plus strict. « À l’avenir, les extensions qui demandent des autorisations puissantes seront soumises à une vérification de conformité supplémentaire. Nous examinons également de très près les extensions qui utilisent du code hébergé à distance, avec une surveillance continue. Les autorisations de votre extension doivent être aussi étroites que possible et tout votre code doit être inclus directement dans le package d’extension, afin de réduire le temps de révision. »

Google incite également les développeurs à ne pas avoir recours au procédé d’obfuscation pour leurs extensions qui a pour finalité de donner un code dit impénétrable : « À partir d’aujourd’hui, le Chrome Web Store n’autorisera plus les extensions avec code impénétrable. Cela inclut le code du paquet d’extension ainsi que tout code externe ou ressource extrait du Web. Cette politique s’applique immédiatement à toutes les nouvelles propositions d’extension. Les extensions existantes avec code obscurci peuvent continuer à envoyer des mises à jour au cours des 90 prochains jours, mais seront supprimées du Chrome Web Store début janvier si elles ne sont pas conformes. »

Une pratique qui sera la bienvenue puisque Google concède que 70 % des extensions malveillantes et « non conformes aux règles que nous bloquons dans le Chrome Web Store contiennent du code obscurci (impénétrable) ».

Par ailleurs, dès 2019, Google obligera à une vérification en deux étapes pour l’accès au comptes développeurs du Chrome Web Store.

(Crédit Photo : Evan Lorne-Shutterstock)

Recent Posts

Splunk acquiert Flowmill start-up de surveillance réseau

Le spécialiste de l'analyse de données machine Splunk enrichit son Observability Suite avec la solution…

1 heure ago

Syntec Numérique et Tech in France vont fusionner en 2021

Une fois la fusion opérée, la nouvelle organisation du numérique en France représentera 65 Mds…

4 heures ago

Conteneurs : Canonical livre LTS Docker Image Portfolio

Canonical fournit sur Docker Hub un ensemble d'images de conteneurs applicatifs sécurisés incluant jusqu'à 10…

7 heures ago

Ransomware : Egregor fait son nid en France

La liste des entreprises françaises figurant parmi les revendiquées d'Egregor s'allonge. Ouest-France l'a récemment rejointe.

7 heures ago

« Score de productivité » Microsoft 365 : la crainte d’une surveillance au travail

Des voix s'élèvent contre le « score de productivité » intégré à Microsoft 365. assimilé…

9 heures ago

Smartphones et tablettes : Apple fait plus que résister en Europe

Apple échappe au repli des ventes de smartphones en Europe de l'Ouest et tire profit…

1 jour ago