Chrome Web Store obtient des badges pour aider les utilisateurs à éviter les extensions louches

Les badges d’éditeur en vedette et établi sur le Chrome Web Store indiqueront aux utilisateurs si une extension provient d’une source fiable et peut être installée en toute sécurité.

Google ajoute quelques nouveaux badges à la boutique en ligne Chrome qui indiqueront aux utilisateurs si une extension provient d’un développeur vérifié et si elle a été vérifiée pour la sécurité et l’expérience utilisateur. Les extensions de navigateur Chrome sont pratiques, mais la mesure dans laquelle elles ont été exploitées dans un passé pas trop lointain est également inquiétante. Du vol de données et de l’injection de code malveillant à la diffusion de logiciels publicitaires et à la redirection des utilisateurs vers des pages de distribution de logiciels malveillants, les extensions Chrome continuent d’être abusées par de mauvais acteurs.

En 2020, la société de cybersécurité Awake a découvert une attaque massive de logiciels espions qui a été lancée en militarisant les extensions Chrome. Plus d’une centaine d’extensions Chrome maléfiques ont été repérées, amassant collectivement plus de 32 millions de téléchargements avant d’être supprimées par Google. En plus d’héberger des logiciels malveillants, ces extensions Chrome étaient chargées d’outils de surveillance capables de capturer des captures d’écran, de gratter le contenu du presse-papiers, de voler les identifiants de connexion et d’effectuer un enregistrement des frappes pour déterminer les mots de passe.

Une grande partie du problème est l’incapacité de distinguer une extension Chrome légitime d’une extension malveillante, en particulier pour les personnes qui ne sont pas armées des compétences numériques requises pour identifier les drapeaux rouges. Pour résoudre le dilemme susmentionné, Google attribuera deux types de badges aux extensions dignes de confiance répertoriées sur la boutique en ligne Chrome. Le premier est Featured, un badge attribué aux extensions qui ont passé avec succès l’examen manuel de Google pour respecter les pratiques de sécurité et offrir la meilleure expérience utilisateur. Une extension qui affiche le badge Featured doit respecter les dernières règles de la plate-forme et les principes de confidentialité des utilisateurs. De plus, ces extensions doivent également proposer une description détaillée et des images de haute qualité pour expliquer ce qu’elles proposent. Google encourage également des pratiques similaires pour les applications répertoriées sur le Play Store, mais la stratégie d’extension est plus proche de ce qu’Apple souhaite réaliser avec App Nutrition Labels sur l’App Store.

Une étape nécessaire qui nécessite une mise en œuvre stricte

Vient ensuite le badge d’éditeur établi. Il est attribué aux extensions Chrome des développeurs qui ont passé la phase de vérification d’identité et ont accepté de se conformer aux politiques du programme pour développeurs. Pour obtenir un badge d’éditeur établi, la société indique qu’un développeur doit avoir « un bilan positif constant avec les services Google ». En 2021, Google a détaillé un livre de règles similaire pour les applications répertoriées sur le Play Store. Suite à une modification de la politique, Google a demandé à tous les développeurs de soumettre des détails tels que des documents d’identification, des numéros de téléphone et des adresses physiques pour s’assurer que les applications ont été créées par de vraies personnes et non par de mauvais acteurs qui souhaitent simplement injecter des logiciels malveillants.

Google précise également que les badges d’éditeur en vedette et établi ne peuvent pas être achetés. Cependant, Google permettra aux éditeurs et aux développeurs d’extensions Chrome actuellement répertoriées de demander une vérification et d’obtenir éventuellement le badge. Le système de badge est un pas dans la bonne direction, mais il n’est pas infaillible. Les recherches suggèrent que les étiquettes App Store Nutrition sur l’App Store ont induit les utilisateurs en erreur, malgré les grandes affirmations d’Apple concernant des vérifications et des contrôles de sécurité rigoureux. Compte tenu des antécédents relativement plus médiocres de Google avec de telles mesures contre Apple, on ne peut qu’espérer que le système de badge d’extension se révèle être une étape positive.

Sources : Google, arXiv

A lire également