David Rogers, expert en sécurité, révèle que le Chrome Web Store connait quelques soucis de sécurité, à l’image de ce qu’a connu Android. En règle générale, l’installation d’une application nécessite la validation de la part de l’utilisateur de l’accès à certains types de ressources, telles l’accès à vos historiques de navigation. Bon, ce n’est qu’un exemple. Il y en a d’autres, bien plus troublantes, parmi lesquelles la permission d’accéder à nos informations personnelles stockés sur tous les sites (les cookies). Pourtant, on a le sentiment que certaines applications n’ont pas besoin de ce type d’accès pour fonctionner. On se demande alors quelles sont les motivations du développeur ?
Suite à ce rapport, le jeu Super Mario World a été retiré du Chrome Web Store. Je ne vous cache pas que je suis étonné de la réponse donnée par Google pour ce problème. En gros, c’est du genre « nous ne sommes pas responsable, nous ne sommes pas tenus de contrôler le contenu des applications mises à disposition sur le Chrome Web Store ». Je ne vous cache pas que ce type de réponse ne m’enthousiasme pas vraiment.
Allez, du coup, j’aimerais bien savoir si vous faites une confiance aveugle aux applications que vous installez (et tiens, on pourrait étendre la question à Android qui présente un peu le même problème) ?
Source http://www.chromeplugins.org
Salut Christophe, ayant un peu joué avec l’API des extensions et Apps de Chrome, je te confirme qu’un développeur peut avoir accès à certaines informations (bien sûr, après la validation par l’utilisateur des permissions requises). D’ailleurs voici la liste des avertissements et permissions: http://code.google.com/chrome/extensions/permission_warnings.html#warnings
Concernant l’impression que certaines applications n’ont pas besoin d’un type d’accès pour fonctionner, c’est plus compliqué que cela. Exemple: la permission, « chrome.tabs ». Pour qu’une extension puisse ouvrir une simple page web dans un onglet spécifique (en arrière plan par exemple), il faut demander cette permission. Au final, l’utilisateur reçoit le message d’avertissement: « The extension can access your tabs and browsing activity ». Ça fait peur c’est clair.
Autre exemple: des extensions voulant modifier une page web (pour ajouter des fonctions, modifier le style CSS de la page,..) doivent préciser dans un fichier (manifest) les sites concernés. Beaucoup d’extensions utilisent une permission générale du genre (http://*/*) pour pouvoir accéder à toutes les pages web. Conclusion pour l’utilisateur: il reçoit le message d’avertissement: « The extension can access your data on all websites ». C’est clair qu’il y a de quoi se poser des questions !
Dans ces exemples, je veux souligner le fait que les permissions sont bien générales et qu’elles sont souvent nécessaires pour effectuer de simples opérations dans le navigateur. Après, c’est clair qu’un développeur mal intentionné peut s’amuser sur le compte de l’utilisateur.
Une autre chose qui me fait sourire quand tu rapportes la réponse de Google « nous ne sommes pas tenus de contrôler le contenu des applications mises à disposition sur le Chrome Web Store »… J’avais créer une application qui avait dans le nom une marque de Google (igoogle pour ne pas le citer). J’ai alors reçu un mail du WebStore me demandant de changer le nom de mon application. Donc, Google contrôle bien, d’une certaine manière, ce qui est mis à disposition du Chrome WebStore !