Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 23/01/2019, à 14:40

raston

197 extensions navigateurs servent de spywares (21.01.19)

Bonjour
Je viens de trouver ce sujet d'un site de source connu
""

197 extensions navigateurs servent de spywares (21.01.19)

Messagede pierre » Hier, 12:47
Un jeune diplômé, Doliere Some ( http://www-sop.inria.fr/members/Doliere.Some/ ) travaillant à Inria Sophia Antipolis (https://www.inria.fr/) pointe du doigt près de 200 extensions pour navigateurs Web (Firefox, Chrome et Opera).

"« Nous avons identifié 197 extensions qui posent diverses menaces pour la sécurité et la confidentialité des navigateurs, des applications Web et des utilisateurs. Elles peuvent être exploitées par des applications Web pour contourner la SOP (« Standard Operating Procedure » (en français « Procédures Opérationnelles Standard » - POS), lire les cookies, l’historique de navigation, les signets, la liste des extensions installées, stocker et récupérer des données depuis le stockage d’extensions ou télécharger des fichiers malveillants et les stocker sur la machine utilisateur. »"
Ce sont des extensions qui peuvent être exploitées par des applications Web afin de :

    exécuter du code arbitraire dans le contexte d'extensions avec les mêmes privilèges que l'extension
    contourner la règle de même origine et accéder aux informations de l'utilisateur
    lire les cookies des utilisateurs afin de pirater leur session de navigation par exemple
    lire leur historique de navigation et leurs favoris
    liste des extensions installées
    stocker et récupérer des données dans le stockage permanent des extensions. Ces informations peuvent servir à des fins de suivi
    déclencher le téléchargement de fichiers arbitraires et les stocker sur la machine utilisateur. Ces fichiers peuvent être des logiciels malveillants dont l'exécution peut endommager l'appareil de l'utilisateur
1548250380.png

SOURCE
http://assiste.forum.free.fr/viewtopic. … 73&t=33920

Dernière modification par raston (Le 23/01/2019, à 14:41)

Hors ligne

#2 Le 23/01/2019, à 15:53

Pending...

Re : 197 extensions navigateurs servent de spywares (21.01.19)

Ça m'étonne sans m'étonner. C'est quelque chose sur lequel je m'étais un peu penché : il y a moyen de faire une extension plus ou moins utile, la faire signer, mais y inclure une erreur de code pour pouvoir plus tard faire exécuter du code arbitraire. Par exemple en jetant un œil sur les historiques d'autres extensions ayant eu des corrections de bugs et en étudiant le code permettant de faire exécuter du code.

Je n'étais pas allé plus loin car pas mon domaine et beaucoup de flemme de chercher. Mais c'était une piste que je voulais gratter. Si ça fonctionne, c'est game-over pour la cible.


Ubuntu / Mint / Windows 10

Hors ligne

#3 Le 23/01/2019, à 19:28

raston

Re : 197 extensions navigateurs servent de spywares (21.01.19)

Utilisant personnellement plusieurs extensions , puis ce que je fais beaucoup d'internet
je pense que c'est un sujet a suivre

Firefox a immédiatement supprimé les extensions présentes.

On remarquera que, sur le tableau précédent, seules 16 extensions étaient vulnérables/hostiles sous Firefox contre 171 dans Google Chrome. Le sérieux et la vigilance de la Fondation Mozilla sont à mettre en avant. Firefox ayant la réputation d'être le navigateur avec le plus d'extensions, le plus personnalisable, le plus extensible, Google court après cette réputation en essayant d'avoir plus d'extensions de Firefox, qui à accepter n'importe quoi.

Merci pour l'avis

Dernière modification par raston (Le 23/01/2019, à 19:28)

Hors ligne

#4 Le 23/01/2019, à 20:29

nam1962

Re : 197 extensions navigateurs servent de spywares (21.01.19)

Wé..
- pas trouvé sur le fil la moindre liste exploitable des trucs concernés (seule info intéressante en soi)
- vu que, comme par le biais de plein d'outils d'alerte, ça a été corrigé dès publication.

Bon, et après on fait quoi ?


[ Modéré ]

Hors ligne

#5 Le 23/01/2019, à 20:53

bruno

Re : 197 extensions navigateurs servent de spywares (21.01.19)

Les articles d'origine, en français et en anglais :
https://www.zdnet.fr/actualites/vie-pri … xtor=RSS-1
https://www.zdnet.com/article/websites- … ions-apis/

Le papier du chercheur de l'INRIA : http://www-sop.inria.fr/members/Doliere.Some/empoweb/ et http://www-sop.inria.fr/members/Doliere … mpoweb.pdf
Les vidéos montrant l'exploitation : http://www-sop.inria.fr/members/Doliere … xtensions/
L'outil pour vérifier ses extensions : http://www-sop.inria.fr/members/Doliere … sanalyzer/

Au moment où l'article a été rédigé Chrome n'avait toujours pas agit concernant les extensions problématiques. Chrome/Chromium étant un spyware en soi, ce n'est pas très étonnant wink

#6 Le 23/01/2019, à 21:10

xubu1957

Re : 197 extensions navigateurs servent de spywares (21.01.19)


Conseils pour les nouveaux demandeurs et pas qu'eux
Important : Pensez à passer vos sujets en [Réso|u] lorsque ceux-ci le sont, au début du titre en cliquant sur Modifier sous le premier message, et un bref récapitulatif de la solution à la fin de celui-ci. Merci.                   Membre de Linux-Azur

Hors ligne

#7 Le 24/01/2019, à 08:02

bruno

Re : 197 extensions navigateurs servent de spywares (21.01.19)

Merci xubu1957 wink
Ceux qui font régulièrement les mises à jour de sécurité n'ont rien à craindre.

#8 Le 24/01/2019, à 08:11

nam1962

Re : 197 extensions navigateurs servent de spywares (21.01.19)

Re : je vois bien de tableaux qui donnent un nombre d'extensions, mai je ne trouve nulle part dans les liens donnés une liste des 197 extensions.

Oukéti ?


[ Modéré ]

Hors ligne

#9 Le 24/01/2019, à 08:22

lynn

Re : 197 extensions navigateurs servent de spywares (21.01.19)

Merci xubu pour les liens sur les articles.

Ça m'amène à une interrogation un peu hors sujet par rapport aux extensions mais comme l'a très justement fait remarquer celui qui à découvert la faille apt, Max Justicz, on peut se demander - et à fortiori, à raison - pourquoi les adresses des dépôts logiciels sont toujours en http... C'est comme le site des isos officielles pour Ubuntu et ses variantes: http://releases.ubuntu.com ... roll

C'est si compliqué que ça de passer ces adresses en httpS..?


«C'est pas parce qu'ils sont nombreux à avoir tort qu'ils ont raison!»

Coluche

Hors ligne

#10 Le 24/01/2019, à 09:13

bruno

Re : 197 extensions navigateurs servent de spywares (21.01.19)

@lynn, si tu lis l'anglais il y a un long débat ici : https://www.reddit.com/r/linux/comments … use_https/

Jusqu'ici on considérait que HTTPS n'apportait pas grand chose en matière de sécurité et que HTTP ou FTP étaient plus rapides. Avec la découverte de cette faille (qui est corrigée) on a vu que cela aurait pu éviter, ou du moins rendre plus complexe, l'attaque MITM.

Tu peux déjà si tu le souhaites utiliser certains dépôts en HTTPS (à tester avant de modifier tes sources):
https://fr.archive.ubuntu.com/ubuntu/

--------------------------------

@nam1962 : la liste des extensions est à la fin du PDF donné en #5. Par contre elle sont référencées par leur identifiant unique et pas par leur nom.

Dernière modification par bruno (Le 24/01/2019, à 09:23)

#11 Le 24/01/2019, à 10:10

nam1962

Re : 197 extensions navigateurs servent de spywares (21.01.19)

Ok merci bruno.

Donc voici la liste pour Firefox (au cas ou on croise des demandeurs qui ont çà sur leur install) :

guretv-ver-tv
buxenger
bitbucket-server
logincataddon
facebook-photo-zoom-easy
facebook-photo-zoom
markanabak-eklentisi
skimdaddy
the-trees-network
assina-me
liber-capital
video-downloader-1
openvost
youtube-video-download-convert
openvideo
vgis

Pour Chrome et Opera, je trouve très ballot de ne donner que l'identifiant unique (mais je m'en tamponne un peu : ceux qui utilisent ces navigateurs n'ont qu'à se démerder)

Dernière modification par nam1962 (Le 24/01/2019, à 10:10)


[ Modéré ]

Hors ligne

#12 Le 24/01/2019, à 13:41

raston

Re : 197 extensions navigateurs servent de spywares (21.01.19)

Merci (nam1962 ) je n'utilise pas ceux la !
""
il y a des liens intéressants( dommage je ne suis pas fortiche en Anglais )

Hors ligne

#13 Le 26/01/2019, à 08:32

dartan

Re : 197 extensions navigateurs servent de spywares (21.01.19)

Je viens de découvrir  je vais regarder les différents liens

yikes

Hors ligne

#14 Le 29/01/2019, à 09:26

moko138

Re : 197 extensions navigateurs servent de spywares (21.01.19)

raston a écrit :

" extensions pour navigateurs Web (Firefox, Chrome et Opera).
« Elles peuvent être exploitées par des applications Web pour contourner la SOP (« Standard Operating Procedure »"

SOP-Opera.

= =


  Sérieusement, faudrait savoir si c'est google-chrome qui part d'une base chromium-browser et la modifie (ce que j'ai toujours lu),
ou bien si c'est chromium-browser qui part d'une base google-chrome et la modifie.


%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel :  À la découverte de dcraw

Hors ligne

#15 Le 29/01/2019, à 10:25

rogn...

Re : 197 extensions navigateurs servent de spywares (21.01.19)

Chrome (logiciel) est basé sur le projet Chromium (code source), Google adapte et compile Chromium pour le transformer en Chrome.
https://www.chromium.org/

The Chromium projects include Chromium and Chromium OS, the open-source projects behind the Google Chrome browser and Google Chrome OS, respectively. This site houses the documentation and code related to the Chromium projects and is intended for developers interested in learning about and contributing to the open-source projects.

Les extensions et applications que l'on trouve sur le Chrome Web Store sont par contre sous l'exploitation de Google, ce dernier laisse l'accès au projet Chromium aux extensions et applications du Chrome Web Store.

#16 Le 29/01/2019, à 11:02

bruno

Re : 197 extensions navigateurs servent de spywares (21.01.19)

Chrome (propriétaire) est développé à partir de Chromium (sous licences libres avec quelques problèmes sur certains fichiers). Les deux sont développés par Google.

Dernière modification par bruno (Le 29/01/2019, à 11:03)

#17 Le 29/01/2019, à 13:02

moko138

Re : 197 extensions navigateurs servent de spywares (21.01.19)

bruno a écrit :

Les deux sont développés par Google.

Merci bruno, c'est donc cela, l'information qui me manquait.


%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel :  À la découverte de dcraw

Hors ligne

#18 Le 29/01/2019, à 14:00

Zoulou.4556

Re : 197 extensions navigateurs servent de spywares (21.01.19)

Slt,
D'ou l'interret d'utiliser des add open source éprouvé, critiqué par la communauté, n'est il pas ?

Dernière modification par Zoulou.4556 (Le 29/01/2019, à 14:00)


Il est un des symboles de la résistance face à l'envahisseur et l’oppresseur des libertés, le zoulou est aussi une langue aillant le plus de locuteurs en Afrique australe dont la communauté Ubuntu.

Hors ligne

#19 Le 29/01/2019, à 15:04

nam1962

Re : 197 extensions navigateurs servent de spywares (21.01.19)

Zoulou.4556 a écrit :

(...)add open source éprouvé(...)

C'est quoi ?


[ Modéré ]

Hors ligne

#20 Le 04/02/2019, à 20:45

burgeon

Re : 197 extensions navigateurs servent de spywares (21.01.19)

bonsoir
Et pas seulement uBlock Origin
Navigateur Chromium : des changements annoncés dans l'API pourrait désactiver une panoplie d'autres extensions
https://www.developpez.com/actu/244659/ … ck-Origin/