Chrome et Firefox : fuite de données de millions d’utilisateurs

Des extensions pour les navigateurs Chrome et Firefox ont récupéré et transmis à des tiers les données personnelles d’environ 4 millions d’internautes.

Image : Getty

Les utilisateurs de Google Chrome et de Mozilla Firefox téléchargent souvent des extensions pour ajouter des fonctionnalités aux navigateurs, comme la mémorisation de mots de passe ou le blocage de publicités. Ces outils ne sont toutefois pas toujours sécuritaires.

Une enquête menée par le Washington Post en collaboration avec un chercheur en sécurité informatique a révélé que 8 extensions installées sur Google Chrome et Firefox collectaient et revendaient des informations personnelles à l’insu des internautes.

Les programmes enregistraient des historiques complets d’achats en ligne, des dossiers médicaux, des numéros de cartes de crédit et des déclarations fiscales, selon le rapport du chercheur indépendant Sam Jadali.

Les extensions transmettaient les renseignements au site Nacho Analytics, qui se présente comme un service de recherche de données stratégiques à des fins de marketing. Nacho vend des rapports détaillés de fréquentation de sites web à des entreprises pour environ 50 dollars américains par mois.

Les modules ont aussi récupéré les données d’une cinquantaine d’entreprises, selon Jadali. Ces informations comprennent notamment les activités d’employés en temps réel, des codes d’accès à des réseaux privés, des codes sources et des clés d’interface de programmation (clés API).

Alertés par le Washington Post, Google et Mozilla ont désactivé les extensions malveillantes cette semaine. Des représentants des deux entreprises ont déclaré que les pratiques décrites dans le rapport de Jadali violaient leurs politiques, et ont précisé que leurs équipes procèdent toujours à des vérifications rigoureuses avant d’accepter des extensions.

Des mesures probablement insuffisantes, selon Jadali. Le chercheur a constaté que les concepteurs de deux des extensions ont attendu 24 jours avant d’activer la récupération de données afin que Google et Mozilla ne remarquent rien lors du processus de validation.

Google a récemment annoncé son intention de réduire la quantité de données auxquelles les applications tierces ont accès. Mozilla a déclaré vendredi avoir créé une liste d’extensions vérifiées et approuvées par son département de sécurité afin de mieux protéger ses utilisateurs, selon Forbes.

L’entreprise tente aussi de faciliter la signalisation d’extensions problématiques et investit dans des mesures de sûreté supplémentaires.

Dans un avis publié sur son site, Nacho Analytics indique avoir pris connaissance de cette « situation inhabituelle », et assure qu’aucun de ses clients légitimes n’a consulté les données confidentielles.

L’entreprise enquête actuellement pour comprendre comment de tels renseignements se sont retrouvés sur son site. Par prudence, elle refuse pour le moment toute nouvelle inscription à ses services.

Lire aussi :

Fuite de données : enquête sur l’affaire Desjardins

Une brèche de sécurité sur cinq en entreprise causée par une erreur à l’interne

Microsoft visitée par des pirates informatiques

Mozilla lance un service de transfert de fichiers

Catherine Morin
Catherine Morin
Éditrice - Direction Informatique

Articles connexes

Une clé USB vendue par un prêteur sur gages du Yukon contenait des données personnelles du ministère de la Santé

Un homme de Whitehorse qui a acheté une clé USB chez un prêteur sur gages l'a branchée à un ordinateur et a découvert que la clé contenait des dossiers confidentiels du ministère de la Santé et des Services sociaux du gouvernement du territoire.

Uber affirme que la compromission des informations d’identification d’un fournisseur a conduit à une violation de données

Uber a offert plus de détails au sujet de la dernière violation de ses contrôles de sécurité, affirmant que la compromission des informations d'identification d'un sous-traitant externe était le point de départ de l'attaque. Il pense également que l'agresseur était lié au gang d'extorsion Lapsus$.

Cisco admet que les données publiées par un gang de rançongiciels proviennent de ses systèmes

Cisco Systems a admis que les données publiées dimanche par le gang de rançongiciels Yanluowang avaient été volées au géant des réseaux lors d'une cyberattaque plus tôt cette année.

Le groupe hôtelier InterContinental victime d’une cyberattaque

La société hôtelière britannique InterContinental Hotels Group PLC (IHG) publiait hier une déclaration confirmant une cyberattaque sur un certain nombre de ses systèmes technologiques, deux jours après la perturbation de ses canaux de réservation et d'autres applications. IHG a déclaré qu'ils enquêtaient sur une « activité non autorisée ».

Balado Hashtag Tendances, 8 septembre 2022 — Informatique quantique, nouveau casque VR, nouveau service Netflix et fuite de données de TikTok

Balado Hashtag Tendances, 8 septembre 2022 — Cette semaine : Une sortie contre l’informatique quantique, un nouveau casque de réalité virtuelle pour Meta, un nouveau service à rabais pour Netflix et une prétendue fuite de données de TikTok.