J’ai une petite question pour vous. Comment faites-vous pour savoir si une extension Chrome est de confiance ?
…
Difficile à savoir n’est-ce pas ? La plupart des gens se réfèrent aux commentaires, aux notes et se reposent bien sûr sur les contrôlent que peut effectuer Google dans son Chrome Web Store.
Aujourd’hui, je vous propose d’aller au-delà de cela grâce à la société Duo Security qui a mis au point un analyseur d’extension Chrome. Baptisé CRXcavator, cet outil scanne l’ensemble du Store Chrome toutes les 3 heures afin d’établir un score de risque pour chaque extension.
Ce score est calculé en fonction de plusieurs facteurs comme les permissions, la présence de bibliothèques JavaScript tierces vulnérables, la politique de sécurité plus ou moins forte…etc.
Pour utiliser CRXcavator, vous devez localiser l’ID de l’extension dans l’URL ou simplement taper le nom de l’extension de votre choix dans le champ prévu à cet effet.
Prenons par exemple l’extension Adblock. Après le scan, on se rend compte que cette extension fait énormément d’appels vers des ressources extérieures, qu’elle intègre une lib JS avec 2 failles très critiques, qu’elle dispose de tout un tas de permissions plus que limite, et qu’en plus, son score de risque augmente avec le temps.
Cela veut dire qu’à chaque nouvelle version d’Adblock qui sort, le risque est plus élevé que sur la version précédente.
Marrant (en fait, non).
Bref, tout ça pour dire que CRXcavator est un excellent outil pour mieux mettre au jour ce qui se cache dans les entrailles de ces extensions qui parfois mettent en danger leurs utilisateurs.
Pour tester CRXcavator c’est par ici.
À vous de jouer ! Notez que si vous voulez partager vos résultats, le forum est ouvert.