Google affirme que moins de 1 % de toutes les installations incluent des logiciels malveillants
En bref: À quel point le problème des extensions malveillantes sur le Chrome Web Store est-il grave ? Cela dépend de qui vous croyez. Google, pour sa part, affirme que moins de 1 % de toutes les installations incluent des logiciels malveillants. Mais un groupe de chercheurs universitaires affirme que 280 millions de personnes ont installé une extension Chrome infectée par un malware sur une période de trois ans.
La semaine dernière, Google a déclaré qu'en 2024, moins de 1 % de toutes les installations du Chrome Web Store, qui contient désormais plus de 250 000 extensions, contenaient des logiciels malveillants. L'entreprise a ajouté que, bien qu'elle soit fière de son bilan en matière de sécurité, certaines extensions malveillantes parviennent toujours à passer au travers, c'est pourquoi elle surveille également les extensions publiées. « Comme pour tout logiciel, les extensions peuvent également introduire des risques », a écrit l'équipe de sécurité.
Les chercheurs Sheryl Hsu, Manda Tran et Aurore Fass de l'Université de Stanford et du CISPA Helmholtz Center for Information Security ont donné un chiffre précis à ces chiffres.
Comme révélé dans un document de recherche, le trio a examiné les extensions de sécurité remarquables (SNE) sur la boutique Chrome. Les SNE sont définis comme une extension contenant des logiciels malveillants, enfreignant la politique du Chrome Web Store ou contenant du code vulnérable.
Il a été constaté qu’entre juillet 2020 et février 2023, 346 millions d’utilisateurs ont installé des SNE. Alors que 63 millions d’entre elles violaient les règles et que trois millions étaient vulnérables, 280 millions de ces extensions Chrome contenaient des logiciels malveillants. À l’époque, près de 125 000 extensions étaient disponibles dans le Chrome Web Store.
Les chercheurs ont découvert que les extensions Chrome sécurisées ne restent généralement pas très longtemps dans le magasin, avec seulement 51,8 à 62,9 % encore disponibles après un an. Les SNE, en revanche, restaient sur le store en moyenne 380 jours (malware), et 1 248 jours s’ils contenaient du code vulnérable.
Le SNE le plus ancien, appelé TeleApp, était disponible depuis 8,5 ans, ayant été mis à jour pour la dernière fois le 13 décembre 2013 et contenant des logiciels malveillants le 14 juin 2022, lorsqu'il a été supprimé.
Il est souvent conseillé de vérifier les évaluations des utilisateurs pour déterminer si une application ou une extension est malveillante, mais les chercheurs ont constaté que cela n'aide pas dans le cas des SNE.
« Dans l'ensemble, les utilisateurs n'accordent pas de notes inférieures à SNE, ce qui suggère qu'ils ne sont peut-être pas conscients du fait que de telles extensions sont dangereuses », ont écrit les auteurs. « Bien sûr, il est également possible que des robots donnent de faux avis et des notes élevées à ces extensions. Cependant, étant donné que la moitié des SNE n'ont aucun avis, il semble que l'utilisation de faux avis ne soit pas répandue dans ce cas. »
Google affirme qu'une équipe de sécurité dédiée fournit aux utilisateurs un résumé personnalisé des extensions qu'ils ont installées, examine les extensions avant qu'elles ne soient publiées dans le magasin et les surveille en permanence après leur publication. Les chercheurs suggèrent que Google surveille également les extensions pour détecter les similitudes de code.
« Par exemple, environ 1 000 extensions utilisent le projet open source Extensionizr, dont 65 à 80 % utilisent encore les versions de bibliothèque par défaut et vulnérables initialement fournies avec l'outil, il y a six ans », indique le rapport. Ils ont également noté le manque de maintenance qui fait que les extensions restent sur le magasin longtemps après la divulgation des vulnérabilités.
