Des bloqueurs de publicités revendent vos données, 5,5 millions d’utilisateurs concernés

Des bloqueurs de publicités Chrome collectent et revendent les données de navigation de leurs utilisateurs. LayerX Security, entreprise spécialisée dans la sécurité des navigateurs, a publié un rapport qui identifie 82 extensions concernées.

Pire encore, ces extensions.se réservent le droit contractuel de vendre vos données personnelles. Sur les 82 extensions qui se remplissent les poches avec cette politique, 12 sont des bloqueurs de publicités avec 5,5 millions d’utilisateurs cumulés.

Des extensions qui vendent vos données les plus sensibles

Ce qui distingue ce cas des piratages, c’est que ces extensions ne volent rien. Elles le disent noir sur blanc dans leurs conditions de confidentialité. Sauf que malaise, personne ne les lit. Et c’est précisément là que le problème se concentre.

Pour rappel, des extensions Chrome avaient déjà volé les données privées de 600 000 utilisateurs, via du code malveillant dissimulé dans des mises à jour. Cette fois, pas de malware. C’est le modèle économique de l’extension lui-même qui pose problème.

Les cas les plus documentés donnent une idée de l’ampleur. Voici les grands champions du vol de données parmi les bloqueurs de publicités : 

• Stands AdBlocker, 3 millions d’utilisateurs, vend des données de navigation à des tiers pour des analyses de marché.
• Poper Blocker, 2 millions d’utilisateurs, vend des identifiants, l’historique de navigation, des profils comportementaux et des informations déduites des URL.
• All Block, 500 000 utilisateurs, revend des données anonymisées à des fins commerciales. TwiBlocker transfère les données à des tiers qui les traitent ou les revendent.
• Urban AdBlocker fait transiter des données de navigation et des conversations IA vers un courtier en données.

Des extensions sans politique de confidentialité

Sauf que voilà, ces extensions sont installées précisément pour réduire le suivi publicitaire. Elles ont accès à tout l’historique de navigation. En gros, elles participent à la même économie de la donnée qu’elles prétendent protéger l’utilisateur. LayerX souligne aussi que 71 % des extensions sur le Chrome Web Store n’ont aucune politique de confidentialité. Sur celles qui en ont une, la grande majorité des utilisateurs ne lit jamais.

Le problème ne concerne pas que les particuliers. LayerX a recensé 29 extensions qui visent les environnements professionnels. Ces outils captent des URL internes d’entreprise, des tableaux de bord SaaS, des recherches métiers, etc.

Ces données alimentent des bases commerciales accessibles à des concurrents. Les extensions Chrome qui ont pris le contrôle complet de millions de PC ont montré que la surface d’attaque via les extensions est bien plus large que ce que la plupart des utilisateurs imaginent.

Comment éviter les extensions qui volent mes données ?

LayerX parle d’un cas de tromperie. L’extension Dashy New Tab affiche la mention « ne vend pas vos données » sur la page Chrome Web Store. Sa politique de confidentialité officielle dit exactement le contraire. Il y a un problème, non ?

Quelques réflexes limitent l’exposition. Il faut supprimer les extensions non indispensables, vérifier la politique de confidentialité de celles qui ont accès à l’ensemble des pages visitées et privilégier les outils open source avec une communauté active.

Pour les bloqueurs de publicités, uBlock Origin reste la référence en termes de transparence. Son code est public et son modèle économique ne repose pas sur la revente de données. Chrome, Edge et Firefox proposent des politiques de groupe pour interdire les extensions non validées sur les postes de travail.

Source : LayerX Security