Des chercheurs en sécurité de l’institut CISPA Helmholtz Center ont analysé plus de 186 000 extensions du Chrome Web Store pour voir si elles manipulaient les entêtes de sécurité des connexions HTTP. Ces entêtes permettent à l’éditeur d’un site d’activer certains mécanismes, comme le protocole HSTS (HTTP Strict Transport Security), les règles relatives aux contenus (Content Security Policy), au rendu (X-Frame-Options) ou au type de données (X-Content-Type-Options).
A découvrir aussi en vidéo :
Résultat : parmi toutes les extensions analysées, 2 485 suppriment au moins l’un de ces quatre entêtes. Parmi elles, 553 suppriment les quatre entêtes en même temps. L’entête le moins aimé est CSP, qui est supprimé le plus souvent.
Cette façon de faire n’est pas nécessairement malveillante. D’après les chercheurs, les développeurs de ces extensions suppriment ces entêtes par facilité et confort, pour ajouter certaines fonctionnalités à leur logiciel. Mais c’est évidemment une démarche à courte vue, car elle fait augmenter le risque de piratage pour l’utilisateur final.
Source : The Record
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
