Les extensions du navigateur peuvent être tout aussi dangereuses que les applications régulières, et leur intégration avec l’outil que tout le monde utilise constamment peut les faire paraître erronées. Exemple: une collection de plus de 200 extensions pour Chrome et d’autres navigateurs majeurs sont utilisés pour «gratter» le contenu du site Web. Cela transforme essentiellement les utilisateurs du navigateur en un centre de données gratuit, avec la capacité vendue à but lucratif.
Le rapport d’annexe sécurisé (repéré par ARS Technica) est intéressant, documentant le système MellowTel. Voici comment cela fonctionne: la première étape, un développeur d’une extension légitime se voit offrir un outil qui intègre une bibliothèque de logiciels dans l’extension. Deuxième étape, cette bibliothèque de logiciels utilise la «bande passante inutilisée» pour un navigateur d’une manière qui n’est pas évidente pour l’utilisateur PC réel.
Ce qui se passe, c’est que l’extension utilise des astuces intelligentes pour scanner et «gratter» le site Web dans les coulisses, de la même manière que les moteurs de recherche comme Google Do… mais en contournant de manière cruciale certaines des protections de base qui sont en place, comme les en-têtes de sécurité et Robots.txt.
Ainsi, non seulement les extensions passent devant une partie des garde-corps de base du Web, mais ils le font lorsqu’ils se sont garés sur un PC sans méfiance, en utilisant la puissance de traitement, la bande passante et l’électricité d’un utilisateur qui a téléchargé une extension de navigateur gratuite. Cela fait essentiellement du navigateur de l’utilisateur final un «bot», dans les mots du chercheur.
La troisième étape, ces données grattées – extrêmement précieuses à l’ère des ensembles de formation sur l’IA, entre autres choses utiles – est collectée et vendue. Le quatrième étape, le développeur de l’extension, qui peut être conscient ou non tout cela, est payé… avec le créateur de la bibliothèque de logiciels, bien sûr.
Des centaines d’extensions de Chrome, Edge et Firefox ont été documentées à l’aide de MellowTel, bien que certaines aient été supprimées pour des logiciels malveillants (peut-être sans rapport avec le rapport) ou simplement retiré la bibliothèque dans une mise à jour. Une liste mise à jour du chercheur John Tucker est disponible ici, ainsi que des liens vers les pages pertinentes de la boutique en ligne Chrome, du référentiel add-ons Microsoft Edge et du référentiel add-ons Firefox.
Voici la chose intéressante. Bien que ce comportement imite certainement les processus d’un botnet ou d’autres logiciels malveillants, il n’est pas activement malveillant… du moins en termes qui tiendraient évidemment devant le tribunal. L’utilisateur a téléchargé et installé l’extension du navigateur (presque certainement sans lire les petits caractères), le développeur comprenait la bibliothèque. Ce n’est pas trop éloigné, par exemple, les publicités de cette page qui partagent beaucoup plus de données sur vous que vous pourriez vous sentir à l’aise. Le système qui permet le grattage est même open source, disponible pour quiconque peut inspecter.
Cela dit, cela franchit définitivement une ligne éthique, dans mon opinion (totalement indépendante, non accusatrice et non pouvant). Gobbut dans la «bande passante inutilisée» est un drapeau rouge – c’est une bande passante pour laquelle l’utilisateur a payé, utilisé ou non, et qui apparaîtra certainement dans une facture si vous êtes sur une connexion mesurée pendant que mobile. L’utilisation de la bande passante de quelqu’un d’autre sans consentement éclairé explicite, pour ne rien dire de la puissance de calcul, sent le même type de comportement qui avait des extensions d’exploration de crypto-monnaie avec les ordinateurs des étrangers.
Et c’est sans considérer les problèmes de sécurité. Tucker note qu’en plus du comportement de grattage, les extensions recueillent d’autres données, y compris l’emplacement de l’ordinateur (et donc de l’utilisateur), et ouvre des connexions potentiellement dangereuses à des serveurs Web distants pour transmettre les données. Le potentiel pour que les extensions du navigateur soient malveillantes ou dangereuses ne soient pas nouvelles, mais ce type de grattage et de comportement de récolte devient probablement plus courant à l’avenir.
