Fuites de données sur Chrome : quelles extensions faut-il éviter?

Publié le : 14 juin 2025 | Catégorie(s) : Navigateurs, Sécurité | Tags : , ,

14 juin 2025 Le Super Geek Navigateurs, Sécurité 0

Extensions Chrome à risque : comment éviter de compromettre vos données

La sécurité en ligne est aujourd’hui une préoccupation majeure pour tout utilisateur du navigateur Chrome. Une étude récente révèle que plusieurs extensions très populaires exposent involontairement des clés API et d’autres données sensibles, mettant ainsi en péril la confidentialité et la sécurité des utilisateurs. Voici un état des lieux des extensions concernées, des risques encourus et des conseils pour se protéger efficacement.

Qu’est-ce qu’une clé API et pourquoi est-elle critique?

Une clé API (Application Programming Interface) est une sorte d’identifiant unique permettant à une application d’accéder à des services ou des données externes. Ces clés doivent rester secrètes, car leur divulgation peut permettre à des tiers non autorisés d’exploiter des services au nom de l’utilisateur, voire d’accéder à des données personnelles.

Extensions concernées : noms, risques et comportements problématiques

Parmi les extensions identifiées comme vulnérables, plusieurs très populaires se démarquent :

  • SEMRush Rank (ID: idbhoeaiokcojcgappfigpifhpkjgmab) : ces extensions appellent le site rank.trellian.com en HTTP non sécurisé, exposant ainsi des informations sensibles à des interceptions.
  • PI Rank (ID: ccgdboldgdlngcgfdolahmiilojmfndl) : mêmes risques liés à l’appel en HTTP non sécurisé.
  • Browsec VPN (ID: omghfjlpggmjjaagoclmmobgdodcjboh) : lors de la désinstallation, elle envoie une requête HTTP vers une URL d’un serveur Amazon S3 non sécurisé, ce qui peut laisser fuiter des données sur l’utilisateur.
  • MSN New Tab (ID: lklfbkdigihjaaeamncibechhgalldgl) : transmet un identifiant machine unique et d’autres données via HTTP vers g.ceipmsn.com, exposant ainsi des informations sensibles sans chiffrement.
  • MSN Homepage, Bing Search & News (ID: midiombanaceofjhodpdibeppmnamfcj) : mêmes transmissions non sécurisées que MSN New Tab.
  • DualSafe Password Manager & Digital Vault (ID: lgbjhdkjmpgjgcbcdlhkokkckpjmedgc) : transmet des informations sur la version de l’extension, la langue du navigateur et le type d’utilisation via HTTP non sécurisé.
  • Dark Reader (ID: eimadpbcbfnmbkopoojfekhnkhdbieeh) : bien que très appréciée pour son mode sombre, cette extension a présenté des fuites de données de configuration via des canaux non sécurisés.
  • Honey (ID: bmnlcjabgnpnenekpadlanbbkooimhnj) : extension populaire de bons de réduction, signalée pour des transmissions non chiffrées dans certaines versions, exposant ainsi des données utilisateurs.
  • Zoom Scheduler (ID: kgjfgplpablkjnlkjmjdecgdpfankdle) : certaines versions anciennes ont laissé fuiter des informations sensibles sur les réunions via des clés API mal protégées.

VPN gratuit

Quels sont les dangers pour les utilisateurs?

L’exposition de ces clés API et données personnelles via des canaux non sécurisés facilite leur interception par des acteurs malveillants. Cela peut entraîner :

  • Une fuite de données personnelles et d’informations confidentielles ;
  • Une exploitation frauduleuse des services associés aux clés API ;
  • Un risque de compromission de comptes ou d’applications liées ;
  • Des impacts financiers dus à une utilisation abusive des services payants.

Comment se protéger efficacement?

Pour limiter ces risques, plusieurs bonnes pratiques sont recommandées :

  • Restreindre l’installation aux extensions absolument nécessaires et reconnues ;
  • Vérifier attentivement les permissions demandées par chaque extension ;
  • Maintenir ses extensions régulièrement mises à jour ;
  • Éviter l’utilisation d’extensions qui communiquent des données en HTTP non sécurisé ;
  • Utiliser des outils additionnels de sécurité et de protection de la vie privée ;
  • Pour les utilisateurs avancés, changer régulièrement les clés API et surveiller leur utilisation.

Responsabilité des développeurs d’extensions

Les développeurs doivent impérativement :

  • Ne jamais inclure de clés API sensibles directement dans le code accessible ;
  • Utiliser des protocoles sécurisés (HTTPS) pour toute communication réseau ;
  • Limiter strictement l’accès aux données et aux clés aux seules parties autorisées ;
  • Effectuer des audits réguliers de sécurité et répondre rapidement aux vulnérabilités signalées.

Conclusion : une vigilance accrue pour protéger vos données

Les récentes révélations sur ces extensions Chrome populaires montrent que la sécurité des données dépend autant des utilisateurs que des développeurs. Il est crucial d’adopter une approche proactive en sélectionnant ses extensions, en surveillant les permissions et en appliquant les conseils de sécurité.