Les articles sur les extensions Chrome populaires qui ont volé des données d’utilisateurs ou exécuté des mineurs de cryptomonnaies sont devenus légions.
Le système des extensions Chrome existe maintenant depuis 10 ans. Grâce au travail acharné et à l'innovation de la communauté de développeurs, il y a maintenant plus de 180.000 extensions dans le Chrome Web Store.
Et près de la moitié des utilisateurs de Chrome Desktop utilisent activement des extensions pour personnaliser Chrome et leur expérience sur le Web.
La double mission de l'équipe Extensions est d'aider les utilisateurs à adapter les fonctionnalités de Chrome à leurs besoins et intérêts individuels, et d'habiliter les développeurs à construire des extensions riches et utiles.
Mais, d'abord et avant tout, il est crucial que les utilisateurs soient sûrs que les extensions qu'ils installent sont dignes de confiance, préservent leur confidentialité, et soient performantes.
Les utilisateurs doivent toujours avoir une transparence totale quant à l'étendue des capacités et de l'accès aux données de leurs extensions.
À l'avenir, il y a des changements plus fondamentaux nécessaires pour que toutes les extensions Chrome soient fiables par défaut.
C’est pourquoi Google a annoncé une série de changements à venir aux extensions de Chrome, dont certains visent à les rendre plus dignes de confiance.
Contrôles des utilisateurs pour l'autorisation hôte
À partir de Chrome 70, les utilisateurs auront le choix de restreindre l'accès de l'hôte d'extension à une liste personnalisée de sites, ou de configurer des extensions pour exiger un clic pour accéder à la page en cours.
Changes to Chrome Extensions are coming! please see more in the blog post👇— Chrome Developers (@ChromiumDev) 1 octobre 2018
"Trustworthy Chrome Extensions, by default"https://t.co/l3BmBOVvcF pic.twitter.com/prHmY47j0L
Alors que les autorisations de l'hôte ont permis des milliers de cas d'utilisation puissants et créatifs d'extension, elles ont également conduit à une large gamme d'abus, à la fois malveillants et involontaires, parce qu'ils permettent aux extensions de lire et de modifier automatiquement les données sur les sites Web.
L’objectif de l’équipe Chrome est d'améliorer la transparence et le contrôle des utilisateurs lorsque les extensions sont en mesure d'accéder aux données du site.
Dans les versions ultérieures, Chrome va continuer à optimiser l'expérience utilisateur vers cet objectif tout en améliorant la convivialité. Si votre extension demande des autorisations d'hôte, Chrome vous invite à consulter son guide de transition et à commencer les tests dès que possible.
Modifications apportées au processus d'examen des extensions
À l'avenir, les extensions qui demandent des autorisations puissantes feront l'objet d'un examen de conformité supplémentaire.
Google Chrome examine également de très près les extensions qui utilisent le code hébergé à distance, avec une surveillance continue.
Les autorisations de votre extension doivent être aussi étroitement étendues que possible, et tout votre code doit être inclus directement dans le package d'extension, afin de minimiser le temps d'examen.
Nouvelles exigences de lisibilité du code
À partir d'aujourd'hui, Chrome Web Store n'autorisera plus les extensions avec du code masqué. Ceci inclut le code dans le package d'extension ainsi que tout code externe ou ressource extraite du Web.
Cette politique s'applique immédiatement à toutes les nouvelles soumissions d'extension.
Les extensions existantes avec du code masqué peuvent continuer à soumettre des mises à jour au cours des 90 prochains jours, mais seront supprimées du Chrome Web Store au début de Janvier 2019 si elles ne sont pas conformes.
Aujourd'hui, plus de 70% des extensions malveillantes et des stratégies de violation que Google bloque à partir de Chrome Web Store contiennent du code masqué.
Dans le même temps, parce que l'obscurcissement est principalement utilisé pour dissimuler la fonctionnalité du code, il ajoute une grande complexité au processus d'examen, d’après Google. Ce qui ne serait plus acceptable étant donné les changements susmentionnés du processus d'examen.
En outre, depuis le code JavaScript toujours en cours d'exécution localement sur la machine de l'utilisateur, l'obscurcissement est insuffisant pour protéger le code propriétaire d'un ingénieur pirate vraiment motivé.
Les techniques de masquage viennent également avec des coûts de performance lourds tels que l'exécution plus lente et l'augmentation des empreintes de fichier et de mémoire.
Vérification obligatoire en 2 étapes
En 2019, l'inscription à la vérification en deux étapes sera requise pour les comptes de développeur de Chrome Web Store.
Si votre extension devient populaire, elle peut attirer les attaquants qui veulent la voler en détournant votre compte, et la vérification en 2 étapes ajoute une couche supplémentaire de sécurité en exigeant une deuxième étape d'authentification à partir de votre téléphone ou une clé de sécurité physique.
Google vous recommande fortement de vous inscrire dès que possible.
Pour une sécurité de compte encore plus forte, considérez le programme de protection avancée. Il offre le même niveau de sécurité que Google utilise sur ses propres employés, nécessitant une clé de sécurité physique pour fournir la plus forte défense contre les attaques de phishing.
Google ira plus loin avec Manifest v3
En 2019, Chrome présentera la prochaine version Manifest des extensions.
Le Manifest v3 entraînera des modifications de plate-forme supplémentaires qui visent à créer des garanties de sécurité, de confidentialité et de performance plus solides.
Google Chrome dit vouloir aider tous les développeurs à connaître le succès.
Ainsi, l'écriture d'une extension sécurisée et performante dans Manifest v3 doit être facilitée, alors qu’écrire une extension non sécurisée ou non performante devra être rendu difficile.
