De nombreuses extensions du Chrome Web Store souhaitent « lire et modifier toutes vos données sur les sites Web que vous visitez ». Cela semble un peu dangereux – et cela peut l’être – mais de nombreuses extensions ont juste besoin de cette autorisation pour faire leur travail.
Chrome a un système d’autorisation, mais Firefox et Internet Explorer n’en ont pas
Cela peut sembler alarmant, surtout en provenance de quelque chose comme Firefox. Mais vous ne voyez cet avertissement que parce que Chrome dispose d’un système d’autorisation pour ses extensions, contrairement à Firefox et Internet Explorer. L’extension Firefox et Internet Explorer a un accès complet à l’ensemble du navigateur et peut faire tout ce qu’elle veut.
Par exemple, lorsque vous installez le Tampermonkey add-on dans Firefox, vous ne verrez pas du tout d’avertissement d’autorisation. Mais ce module complémentaire a accès à l’ensemble de votre navigateur Firefox.
Contrairement aux extensions de ces autres navigateurs, les extensions Chrome doivent déclarer les autorisations dont elles ont besoin. Lorsque vous installez une extension, vous verrez une liste des autorisations dont elle a besoin et vous pouvez prendre une décision éclairée quant à l’installation de l’extension. C’est un peu comme le système d’autorisations intégré à Android.
Pour utiliser le même exemple, lorsque vous installez le Tampermonkey pour Chrome, vous verrez des informations sur les autorisations requises par l’extension.
Les extensions très simples ne nécessitent en fait aucune autorisation. Par exemple, le fonctionnaire Google Hangouts L’extension fournit simplement une icône de barre d’outils sur laquelle vous pouvez cliquer pour ouvrir une fenêtre de chat Google Hangouts. Installez-le et vous ne serez pas averti des autorisations spéciales dont il a besoin.
Pourquoi les extensions ont-elles besoin d’une autorisation pour « lire et modifier toutes vos données »
Cependant, essayez d’installer la plupart des extensions et vous serez averti des autorisations dont elles ont besoin. Le plus effrayant est probablement «Lisez et modifiez toutes vos données sur les sites Web que vous visitez». Cela signifie que l’extension peut afficher chaque page Web que vous visitez, modifier ces pages Web et même envoyer des informations à ce sujet sur le Web.
Par exemple, Google propose un Enregistrer sur Google Drive extension qui vous permet de cliquer avec le bouton droit sur n’importe quelle page Web ou lien et d’enregistrer cette page sur votre Google Drive. L’extension nécessite la possibilité de «lire et modifier toutes vos données sur les sites Web que vous visitez». Mais il a besoin de cette autorisation car, lorsque vous essayez d’enregistrer du contenu, l’extension doit pouvoir accéder à la page Web actuelle et afficher ses données.
Les extensions qui doivent interagir avec des pages Web nécessitent presque toujours l’autorisation «Lire et modifier toutes vos données sur les sites Web que vous visitez». C’est pourquoi l’extension Google Hangouts ne demande pas cette autorisation: elle ne possède aucune fonctionnalité qui interagit avec une page Web ouverte dans votre navigateur.
Cliquez et vous vous rendrez rapidement compte que la plupart des extensions de navigateur offrent des fonctionnalités qui interagissent avec la page Web actuelle, des gestionnaires de mots de passe qui doivent remplir des mots de passe aux extensions de dictionnaire qui doivent définir des mots. C’est pourquoi cette autorisation est si courante.
Les extensions qui ne fonctionnent que sur un seul site Web peuvent nécessiter uniquement la possibilité de «Lire et modifier vos données» sur un site Web spécifique. Par exemple, le fonctionnaire Vérificateur de messagerie Google L’extension nécessite l’autorisation de « Lire et modifier vos données sur tous les sites google.com ».
Bien sûr, ce niveau d’accès permettrait à une extension de capturer vos mots de passe et numéros de carte de crédit ou d’insérer des publicités supplémentaires dans des pages Web. Mais Google ne sait pas si une extension utilisera ses autorisations pour le bien ou le mal. De nombreuses extensions populaires et légitimes nécessitent cette autorisation, car il n’y a pas d’autre moyen d’interagir avec les pages Web ouvertes.
Mais si l’avertissement d’autorisation vous fait réfléchir à deux fois avant d’installer une extension dont vous n’êtes pas sûr, c’est bien. C’est pourquoi il est là – c’est un rappel du niveau d’accès que vous fournissez à vos données personnelles chaque fois que vous installez une extension de navigateur.
Certaines extensions ont des autorisations encore plus larges
Les extensions peuvent également demander plusieurs autres autorisations. Par exemple, le AVG Web TuneUp L’extension installée dans le cadre de l’antivirus AVG nécessite l’autorisation de lire et de modifier toutes vos données sur les sites Web que vous visitez, de lire et de modifier votre historique de navigation, de modifier votre page d’accueil, de modifier vos paramètres de recherche, de modifier votre page d’accueil, de gérer vos téléchargements, gérer vos applications, extensions et thèmes, et communiquer avec les applications natives coopérantes sur votre ordinateur.
Nous ne recommandons pas d’utiliser les extensions de navigateur de votre antivirus, et le système d’autorisations de Chrome montre bien pourquoi dans ce cas. Cette extension est très invasive et nécessite un accès à presque toutes les parties de votre navigateur. La fenêtre des autorisations vous avertit des autorisations que vous accorderez afin que vous puissiez prendre une décision éclairée.
Même l’extension de navigateur la plus effrayante n’a pas autant d’accès à votre ordinateur qu’un programme de bureau. Les applications Windows normales ont accès à vos frappes et fichiers, y compris vos navigateurs Web. C’est pourquoi vous ne devriez pas exécuter une application de bureau en laquelle vous ne faites pas confiance, tout comme vous ne devriez pas installer une extension de navigateur en laquelle vous ne faites pas confiance.
Quelles extensions de navigateur devriez-vous faire confiance?
Si vous donnez à une extension l’accès à tous les sites Web que vous visitez, cette extension pourrait potentiellement capturer vos mots de passe bancaires en ligne et vos numéros de carte de crédit ou insérer des publicités dans les pages que vous consultez. C’est tout aussi dangereux pour vos données de navigation Web que l’installation d’un programme de bureau, vous devez donc traiter la décision avec autant de soin.
En théorie, les extensions de navigateur disponibles sur le Chrome Web Store, le site Web des modules complémentaires Mozilla et le Windows Store sont contrôlées par Google, Mozilla et Microsoft, respectivement. La société en charge du magasin peut supprimer un module complémentaire du magasin s’il fait quelque chose de mal.
En réalité, cependant, les fabricants de navigateurs ne testent pas chaque extension – ou chaque mise à jour d’une extension légitime – pour confirmer qu’elle est sûre. Un fabricant de navigateur ne pourra souvent supprimer une extension qu’après avoir causé des problèmes à de nombreuses personnes qui l’ont installée.
Si l’extension nécessite un certain nombre d’autorisations, vous devrez l’évaluer comme vous le feriez pour un programme de bureau. Si l’extension est créée par une entreprise en qui vous avez confiance, comme les nombreuses extensions créées par des entreprises telles que Google, Microsoft, Twitter, Facebook, vous savez qu’elle est probablement sûre. Si l’extension a été créée par quelqu’un que vous ne connaissez pas, soyez plus prudent. Si l’extension est établie et a un grand nombre d’utilisateurs, de bons retours dans le magasin et des critiques positives sur d’autres sites Web, c’est bon signe. S’il a des commentaires mitigés ou beaucoup moins d’utilisateurs, c’est un mauvais signe.
En cas de doute, n’installez pas cette extension. Il est préférable d’utiliser le moins d’extensions possible pour garder votre navigateur rapide, de toute façon.
Cependant, plus de navigateurs ajoutent des systèmes d’autorisation. Microsoft Edge utilise des extensions de style Chrome et vous avertit des autorisations requises par les extensions. Firefox passera également aux extensions de style Chrome à l’avenir.