Chrome continue son offensive pour stopper le « cryptojacking » (piratage cryptomonnaies)

Pour les développeurs d’extensions Chrome, Google est en train d’introduire des règles plus strictes, un geste qui devrait réduire le risque de piratage des cryptomonnaies et de malware de minage de ces actifs.

Le géant du Web a annoncé lundi une série de changements dans la façon dont Chrome gère les extensions qui nécessitent des permissions étendues, et qu’il renforce également les règles pour les développeurs distribuant des extensions via le Chrome Web Store.

Google a déclaré dans un message sur son blog :

« Il est crucial que les utilisateurs puissent avoir confiance que les extensions qu’ils installent sont sûres, respectueuses de la vie privée et performantes. Les utilisateurs devraient toujours avoir une totale transparence sur l’étendue des capacités de leurs extensions et l’accès aux données. »

A partir de Chrome 70 (actuellement en version bêta), les utilisateurs auront la possibilité de restreindre l’accès d’une extension à une liste personnalisée de sites, ou de définir des extensions nécessitant une autorisation chaque fois qu’ils ont besoin d’accéder à une page, explique la société.

Une surveillance accrue des codes hébergés à distance

Google ajoute que les extensions qui demandent des  » permissions puissantes  » seront soumises à un  » examen de conformité supplémentaire « .

« Nous examinons également de très près les extensions qui utilisent du code hébergé à distance, avec une surveillance continue « , indique le post.

L’entreprise explique cette décision en ces termes :  » Si les permissions d’hôte ont permis des milliers de cas d’utilisation d’extension puissants et créatifs, elles ont également conduit à un large éventail d’abus – à la fois malveillants et non intentionnels… Notre objectif est d’améliorer la transparence et le contrôle des utilisateurs sur le moment où les extensions peuvent accéder aux données du site. »

Google a également déclaré que, à partir de lundi, le Chrome Web Store ne permettra plus les extensions avec du code caché, ou opacifié. Les extensions existantes dont le code est obscurci ont 90 jours pour se conformer à la nouvelle règle, ajoute-t-il.

Selon le message, plus de 70 pour cent des  » logiciels malveillants et des extensions violant les règles  » que Google bloque dans le Web Store contiennent du code obscurci. De plus, comme l’obscurcissement est  » principalement utilisé pour dissimuler la fonctionnalité du code,  » il ajoute grandement à la complexité du processus de révision des extensions de Google.

« Cela n’est plus acceptable compte tenu des changements susmentionnés apportés au processus d’examen « , a déclaré Google.

Et dans une dernière mesure de sécurité, en 2019, tous les comptes de développeurs d’extension doivent être protégés par une vérification en deux étapes pour réduire le risque que les pirates informatiques prennent le contrôle d’un compte.

Dans le passé, les extensions Chrome ont été utilisées par des cybercriminels pour donner accès aux machines des victimes.

Google a également été forcé de sévir contre les extensions qui utilisaient les appareils pour extraire des cryptomonnaies à l’insu des utilisateurs. En avril, le Web Store a bloqué les extensions qui exploitent les devises cryptographiques, que l’exploitation minière ait été ou non une caractéristique délibérée.

d’après coindesk