Des extensions Chrome fiables et sûres par défaut. Ce n'est manifestement pas encore le cas pour Google qui annonce une nouvelle série de mesures en ce sens.

À partir de la version 70 de Chrome, les utilisateurs auront la possibilité de limiter le fonctionnement d'une extension avec seulement certains sites en particulier quand elle cherche à manipuler ou modifier des pages web. Une liste blanche en somme. Il sera aussi possible de configurer la nécessité d'un clic pour autoriser l'accès à la page actuelle.

Chrome-70-extension-

En matière d'évaluation et validation des extensions, celles qui demandent des autorisations avancées feront l'objet d'un examen supplémentaire. D'ores et déjà, le Chrome Web Store n'accepte plus les extensions dont le code n'est pas suffisamment explicite et compréhensible sur son fonctionnement. Une pratique d'offuscation de code pouvant aboutir à des actions malveillantes.

Autre mesure notable, les développeurs d'extensions auront l'obligation à partir de 2019 d'avoir recours à la validation en deux étapes pour l'accès à leurs comptes Chrome Web Store. Il s'agit d'ajouter une protection supplémentaire afin d'éviter le détournement d'un compte pour distribuer une version potentiellement dangereuse d'une extension.

On se souviendra par exemple de l'hébergement d'une version compromise de l'extension du service cloud MEGA. Un attaquant était parvenu à prendre le contrôle du compte de MEGA pour le Chrome Web Store pour y placer une version malveillante.

" Il est crucial que les utilisateurs puissent avoir confiance au fait que les extensions qu'ils installent sont sûres, respectueuses de la vie privée et performantes ", écrit James Wagner, Chrome Extensions Product Manager.

Le Chrome Web Store est l'hôte de plus de 180 000 extensions. Près de la moitié des utilisateurs de Google Chrome sur l'ordinateur utilisent des extensions. Récemment, Google a mis fin aux installations inline pour les extensions Chrome.