Google prend des mesures pour protéger les utilisateurs de Chrome contre le cryptojacking et le piratage

Google met en place des règles plus strictes pour les développeurs d'extensions Chrome, une mesure qui devrait réduire le risque de piratage de Crypto et de logiciels malveillants de minage.

Annoncé lundi, le géant du Web et de la Technologies prévoit une série de changements dans la façon dont Chrome gère les extensions qui Request des autorisations étendues, et renforce également les règles pour les développeurs distribuant des extensions via le Chrome Web Store.

Google a déclaré dans unarticle de blog:

Il est crucial que les utilisateurs puissent être sûrs que les extensions qu'ils installent sont sûres, respectueuses de la confidentialité et performantes. Ils doivent toujours bénéficier d'une transparence totale sur l'étendue des fonctionnalités de leurs extensions et sur l'accès aux données.

À partir de Chrome 70 (actuellement en version bêta), les utilisateurs auront la possibilité de restreindre l'accès d'une extension à une liste personnalisée de sites, ou de configurer les extensions pour qu'elles nécessitent une autorisation chaque fois qu'elles doivent accéder à une page, explique la société.

Google ajoute que les extensions qui Request des « autorisations puissantes » seront soumises à un « examen de conformité supplémentaire ».

« Nous examinons également de très près les extensions qui utilisent du code hébergé à distance, avec une surveillance continue », indique le message.

L'entreprise explique cette décision en déclarant : « Bien que les autorisations d'hébergement aient permis des milliers de cas d'utilisation d'extensions puissantes et créatives, elles ont également conduit à un large éventail d'utilisations abusives, à la fois malveillantes et involontaires... Notre objectif est d'améliorer la transparence et le contrôle des utilisateurs sur le moment où les extensions peuvent accéder aux données du site. »

Google a également annoncé qu'à partir de lundi, le Chrome Web Store n'autoriserait plus les extensions contenant du code masqué ou obscurci. Les extensions existantes avec du code obscurci disposent de 90 jours pour se conformer à la nouvelle règle, ajoute le site.

Selon l'article, plus de 70 % des extensions malveillantes et non conformes aux Juridique de Google bloquées sur le Web Store contiennent du code obscurci. De plus, l'obscurcissement étant principalement utilisé pour dissimuler des fonctionnalités de code, il complexifie considérablement le processus d'examen des extensions par Google.

« Cela n’est plus acceptable compte tenu des changements apportés au processus d’examen susmentionnés », a déclaré Google.

Et dans une dernière mesure de sécurité, en 2019, tous les comptes de développeurs d’extensions doivent être protégés par une vérification en deux étapes pour réduire le risque que des pirates informatiques prennent le contrôle d’un compte.

Par le passé, les extensions Chrome ont été utilisées par les cybercriminels pour donner accès aux machines des victimes.

Par exemple, il y a tout juste un mois, des pirates ont téléchargé une version malveillante de l'extension Mega sur la boutique en ligne. Selon les informations, les utilisateurs ayant utilisé l'installateur officiel dans les heures qui ont suivi ont vu leurs comptes compromis.ZDNet – y compris les utilisateurs des portefeuilles Crypto MyEtherWallet et MyMonero, ainsi que de l’échange décentralisé IDEX.

Google a également été contraint desévir contre les extensionsqui utilisaient les appareils des téléchargeurs pour extraire des cryptomonnaies à leur insu. En avril, le Web Store a bloqué les extensions qui extraient des cryptomonnaies, que l'extraction soit ou non une fonctionnalité délibérée.

ICON Chromeimage via Shutterstock