Chrome : une faille des extensions vole les mots de passe

L’installation d'extensions sur Chrome pourrait présenter un sérieux risque de sécurité. Un développeur est en effet parvenu à coder une extension permettant de récupérer les différents mots de passe enregistrés par le navigateur, et de se les faire envoyer par mail.

Un plug-in voleur de mots de passe

Selon Andreas Grech, qui a découvert la faille, le gestionnaire d'extensions de Chrome donnerait accès à un certain nombre de données du navigateur, y compris les champs concernant le nom d’utilisateur et le mot de passe d’un internaute. Il a lui-même testé la faille et assure qu’elle fonctionne contre Twitter, Gmail et Facebook. « L'extension que j’ai créée est très simple. Quand un utilisateur envoie un formulaire, il essaie de capturer les champs “nom d’utilisateur” et “mot de passe”, et me les envoie par email grâce à un script en Ajax », explique-t-il.

Après avoir dévoilé le code malicieux sur son site, il explique que cette faille en question pourrait se retrouver dans n’importe quelle extension, puisque l’exécution du code est totalement transparente du point de vue de l’utilisateur. Il appelle donc à la vigilance, tandis que Google doit désormais travailler à un correctif.

Les meilleures extensions pour Google Chrome

Posez une question dans la catégorie News du forum
Cette page n'accepte plus de commentaires
25 commentaires
    Votre commentaire
  • Kenelm
    Le pire, c'est que c'est évident ce qu'il dit ce mec. Drôle que personne s'en soit rendu compte avant :spamafote:
    Et pour corriger ça... dur dur... je sais pas comment ils vont s'y prendre parce que ça remet en question les capacités même des extensions.

    Sinon j'aime bien le lien "Les meilleures extensions pour Google Chrome" en-dessous, pour l'instant faudrait plutôt toutes les désactiver :dawa:
    3
  • Edyr
    Ça me semble pas être une faille à proprement parler et j'imagine qu'on peut faire exactement la même chose sur tous les autres navigateurs qui proposent des extensions.
    C'est simplement à l'utilisateur de faire attention à ce qu'il installe sur sa machine :)
    1
  • jeyjey0001
    Edyr...C'est simplement à l'utilisateur de faire attention à ce qu'il installe sur sa machine


    Impossible à détecter !

    A moins que l'extension soit open-source et que l'utilisateur "averti" y jette un coup d'oeil... mais tout ce qui est malicieux est caché en général...
    0