Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 28/03/2012, à 23:31

Hire

Navigateurs et la confidentialité des plugins

Bonjour à tous !

Voilà, je suis actuellement sous Ubuntu 10.04 avec pour navigateur Chromium. J'ai installé quelques plugins, dont AdBlock, AutoScroll, et autres. Seulement, au moment de l'installation, je constate que ces plugins requièrent des autorisations pour le moins particulière :

Vos données sur tous les sites Web
Cette application ou extension peut lire toutes les pages que vous visitez : celles de votre banque, de votre client de messagerie, de votre compte Facebook, etc. Bien souvent, ce genre d'application ou extension a besoin de scanner toutes les pages visitées pour pouvoir réaliser une tâche limitée, comme rechercher des flux RSS auxquels vous pourriez vouloir vous abonner.

Donc voilà, je ne m'y connais pas trop dans tout ça, mais n'est-ce pas un peu dangereux ? Compte Facebook, consultation du compte bancaire à disposition de développeurs d'extensions, cela me parait étonnant ! D'autant plus que l'on en parle pas plus que ça sur le web...

Des avis sur la question ? wink

Hors ligne

#2 Le 29/03/2012, à 11:12

toniotito10

Re : Navigateurs et la confidentialité des plugins

Bonjour,

En effet c'est surprenant... et je trouve ça inquiétant question vie privée. Il y'a sûrement des experts en sécurité sur ce forum wink
Pour ma part, je me sers toujours d'un live CD (Tails dispo sur le site : ici )
Au moins les connexions sont chiffrées et rien n'est enregistré sur le disque dur

Bonne continuation

Hors ligne

#3 Le 30/03/2012, à 04:55

AlexandreP

Re : Navigateurs et la confidentialité des plugins

Hello,

toniotito10 a écrit :

Pour ma part, je me sers toujours d'un live CD (Tails dispo sur le site : ici )
Au moins les connexions sont chiffrées et rien n'est enregistré sur le disque dur

D'accord, mais qu'est-ce que ça change dans le cas présent? Disons que, depuis ton liveCD qui chiffre les connexions, tu accèdes à ton compte bancaire depuis le navigateur Web qui inclut une extension qui a besoin de l'autorisation en lecture de toutes les données des pages que tu visites (par exemple: AdBlock).
  - Ce qui est chiffré, c'est la connexion entre ton ordinateur et le serveur de ta banque;
  - Aux deux bouts de la connexion (soit: sur ton ordinateur et sur le serveur de ta banque), la connexion est déchiffrée -- ce qui est bien normal: de ton côté, tu dois être en mesure de lire les informations que t'envoie ta banque;
  - L'extension en question (disons, AdBlock) fonctionne au niveau de ton navigateur, dans ton ordinateur. Donc: à un niveau où la communication entre ta banque et toi est déchiffrée;
  - Sachant cela, rien n'empêche à l'extension d'établir elle aussi une connexion (sécurisée, why not) vers une autre destination (ex: le serveur du développeur de l'extension) et renvoyer les informations qu'elle aura récupérée de la page web de ta banque.


Je ne suis pas non plus un expert en matière de sécurité ni en matière des divers niveaux d'autorisations disponibles dans Chromium. Cela dit, en ce qui concerne cette autorisation-là, si on lit la description, on constate que: "Bien souvent, ce genre d'application ou extension a besoin de scanner toutes les pages visitées pour pouvoir réaliser une tâche limitée, comme rechercher des flux RSS auxquels vous pourriez vouloir vous abonner." Il s'agit donc probablement pour l'extension de passer en revue le code HTML de chacune des pages qui s'affichent et de ressortir les informations qu'elle a besoin pour accomplir sa tâche (ex: AdBlock pourrait rechercher tous les blocs contenant le mot "publicité", afin d'en bloquer l'affichage).

Cela dit, loin de moi l'envie de minimiser cet aspect. Ça démontre seulement que c'est bien de s'interroger pourquoi une extension nécessite une autorisation en particulier. Parfois, on retrouve dans le site des extensions les raisons pour lesquelles certaines autorisations sont nécessaires. Dans le cas contraire, n'hésitez pas à contacter les développeurs de chaque extension pour avoir plus d'information. À la fin, vous êtes toujours responsables quant à cette question: faites-vous confiance au développeur de l'application? Si la réponse est non, n'ajoutez pas l'extension.


Légèrement hors sujet: c'est la même chose avec les téléphones Android et les applications du Play Store. Quand on s'apprête à en installer une, Play Store informe des autorisations nécessaires pour l'application. C'est assez intéressant de prendre le temps de les lire. Pour prendre un exemple concret: je recherchais la semaine dernière une application faisant office de lampe torche. Je sélectionne le premier résultat de recherche et je m'apprête à installer l'application pour l'essayer. Play Store m'informe des autorisations nécessaires à l'application... et deux d'entre elles attirent mon attention:
  - Appels téléphoniques (connaître l'état et l'ID)
  - Votre position (position GPS et position basée sur réseau)
Pourquoi une application flash light a-t-elle besoin de connaître ma position et l'ID de mes contacts??? Bref, j'ai passé mon chemin, puisque je ne comprends pas cette nécessité de l'application.

Dernière modification par AlexandreP (Le 30/03/2012, à 04:56)

«La capacité d'apprendre est un don; La faculté d'apprendre est un talent; La volonté d'apprendre est un choix.» -Frank Herbert
93,8% des gens sont capables d'inventer des statistiques sans fournir d'études à l'appui.

Hors ligne

Pages : 1