27Jul

Pourquoi les extensions Chrome ont-elles besoin de "toutes vos données sur les sites Web que vous visitez"?

De nombreuses extensions du Chrome Web Store veulent "lire et modifier toutes vos données sur les sites Web que vous visitez".Cela semble un peu dangereux - et cela peut être le cas - mais de nombreuses extensions ont juste besoin de cette permission pour faire leur travail.

Chrome a un système d'autorisation, mais Firefox et Internet Explorer ne pas

Cela peut sembler alarmant, surtout venant de quelque chose comme Firefox. Mais vous ne voyez cet avertissement que parce que Chrome a un système d'autorisation pour ses extensions, contrairement à Firefox et Internet Explorer. Chaque extension Firefox et Internet Explorer a un accès complet à l'ensemble du navigateur, et peut faire tout ce qu'elle veut.

Par exemple, lorsque vous installez le module complémentaire Tampermonkey dans Firefox, vous ne verrez aucun avertissement d'autorisation. Mais cet add-on accède à l'ensemble de votre navigateur Firefox.

Contrairement aux extensions pour ces autres navigateurs, les extensions Chrome doivent déclarer les autorisations dont elles ont besoin. Lorsque vous installez une extension, vous verrez une liste des autorisations dont elle a besoin et vous pourrez prendre une décision éclairée quant à l'installation de l'extension. C'est un peu comme le système d'autorisations intégré à Android.

Pour utiliser le même exemple, lorsque vous installez l'extension Tampermonkey pour Chrome, vous verrez des informations sur les autorisations requises par l'extension.

Les extensions très simples ne requièrent aucune autorisation. Par exemple, l'extension officielle Google Hangouts fournit une icône de barre d'outils sur laquelle vous pouvez cliquer pour ouvrir une fenêtre de discussion Google Hangouts. Installez-le, et vous ne serez pas averti des autorisations spéciales dont il a besoin.

Pourquoi les extensions ont besoin d'autorisation pour "lire et modifier toutes vos données"

Essayez d'installer la plupart des extensions, cependant, et vous serez averti des autorisations dont elles ont besoin. Le plus effrayant est probablement "Lisez et changez toutes vos données sur les sites que vous visitez".Cela signifie que l'extension peut afficher chaque page Web que vous visitez, modifier ces pages Web et même envoyer des informations à ce sujet sur le Web.

Par exemple, Google propose une extension Enregistrer dans Google Drive qui vous permet de faire un clic droit sur une page Web ou un lien et d'enregistrer cette page sur votre Google Drive. L'extension nécessite la possibilité de "Lire et modifier toutes vos données sur les sites Web que vous visitez".Mais il a besoin de cette autorisation car, lorsque vous essayez d'enregistrer du contenu, l'extension doit pouvoir accéder à la page Web actuelle et afficher ses données.

Les extensions qui doivent interagir avec des pages Web requièrent presque toujours l'autorisation "Lire et modifier toutes vos données sur les sites Web que vous visitez".C'est pourquoi l'extension Google Hangouts ne vous demande pas cette autorisation: aucune fonctionnalité n'interagit avec une page Web ouverte dans votre navigateur.

Cliquez sur autour et vous réaliserez rapidement que la plupart des extensions de navigateur proposent des fonctionnalités qui interagissent avec la page Web actuelle, depuis les gestionnaires de mots de passe qui doivent remplir les mots de passe jusqu'aux extensions de dictionnaire qui doivent définir des mots. C'est pourquoi cette permission est si commune.

Les extensions qui ne fonctionnent que sur un seul site Web peuvent nécessiter uniquement la possibilité de "Lire et modifier vos données" sur un site Web spécifique. Par exemple, l'extension officielle de Google Mail Checker nécessite l'autorisation de "Lire et modifier vos données sur tous les sites google.com".

Bien sûr, ce niveau d'accès permettrait à une extension de capturer vos mots de passe et numéros de carte de crédit ou d'insérer des publicités supplémentaires dans des pages Web. Mais Google ne sait pas si une extension utilisera ses autorisations pour le bien ou le mal. De nombreuses extensions populaires et légitimes nécessitent cette autorisation, car il n'y a pas d'autre moyen d'interagir avec des pages Web ouvertes.

Mais, l'avertissement d'autorisation vous fait réfléchir à deux fois avant d'installer une extension dont vous n'êtes pas sûr, c'est bien. C'est la raison pour laquelle c'est là: c'est un rappel de l'accès que vous fournissez à vos données personnelles lorsque vous installez une extension de navigateur.

Certaines extensions ont même des autorisations plus larges

Extensions peut également demander pas mal d'autres autorisations. Par exemple, l'extension AVG Web TuneUp installée dans le cadre de l'antivirus AVG nécessite l'autorisation de lire et de modifier toutes vos données sur les sites Web que vous visitez, de lire et modifier votre historique de navigation, de modifier votre page d'accueil, Commencez la page, gérez vos téléchargements, gérez vos applications, vos extensions et vos thèmes, et communiquez avec des applications natives compatibles sur votre ordinateur.

Nous ne recommandons pas d'utiliser les extensions de navigateur de votre antivirus, et le système d'autorisations de Chrome fait un bon travail pour montrer pourquoi dans ce cas. Cette extension est très invasive et nécessite l'accès à presque toutes les parties de votre navigateur. La fenêtre des autorisations vous avertit des autorisations que vous accordez, ce qui vous permet de prendre une décision éclairée.

Même l'extension de navigateur la plus effrayante n'a pas autant d'accès à votre ordinateur qu'un programme de bureau le ferait, cependant. Les applications Windows normales ont accès à vos frappes et fichiers, y compris vos navigateurs Web. C'est pourquoi vous ne devez pas exécuter une application de bureau de confiance, tout comme vous ne devez pas installer une extension de navigateur de confiance.

Quelles extensions du navigateur devez-vous faire confiance?

Si vous donnez un accès extension à tous les sites Web que vous visitez, cette extension pourrait potentiellement capturer vos mots de passe bancaires en ligne et numéros de carte de crédit ou insérer des annonces dans les pages que vous consultez. Il est tout aussi dangereux pour vos données de navigation Web que l'installation d'un programme de bureau, vous devez donc traiter la décision avec autant de soin.

En théorie, les extensions de navigateur disponibles dans le Chrome Web Store, le site Web des modules complémentaires Mozilla et le Windows Store sont surveillées par Google, Mozilla et Microsoft, respectivement. La société en charge du magasin peut supprimer un add-on du magasin s'il fait quelque chose de mal.

En réalité, les concepteurs de navigateurs ne testent pas chaque extension( ou chaque mise à jour d'une extension légitime) pour confirmer qu'elle est sûre. Un fabricant de navigateurs se déplace souvent pour supprimer une extension après que cela a causé des problèmes pour de nombreuses personnes qui l'ont installé.

Si l'extension nécessite pas mal d'autorisations, vous devrez l'évaluer comme si vous étiez un programme de bureau. Si l'extension est créée par une entreprise en qui vous avez confiance - comme les nombreuses extensions créées par des entreprises comme Google, Microsoft, Twitter, Facebook - vous savez que c'est sûrement sans danger. Si l'extension a été créée par quelqu'un que vous ne connaissez pas, soyez plus prudent. Si l'extension est établie et a un grand nombre d'utilisateurs, de bons commentaires dans le magasin, et des commentaires positifs sur d'autres sites, c'est un bon signe. S'il y a des commentaires mitigés ou beaucoup moins d'utilisateurs, c'est mauvais signe.

Si vous avez un doute, n'installez pas cette extension. Il est préférable d'utiliser le moins d'extensions possibles pour garder votre navigateur rapide, de toute façon.

Cependant, d'autres navigateurs ajoutent des systèmes d'autorisation. Microsoft Edge utilise des extensions de style Chrome et vous avertira des autorisations dont les extensions ont besoin. Firefox va également passer à des extensions de style Chrome dans le futur.