Les développeurs d'extensions vendent les données d'au moins 6.5 millions d'utilisateurs – et tout cela est parfaitement légal.

Résumé:

Une nouvelle étude de LayerX Security révèle l'existence de plusieurs réseaux d'extensions de navigateur qui collectent des données utilisateur pour les revendre à des fins lucratives, et ce, en toute légalité. Contrairement aux extensions malveillantes qui se font passer pour des extensions légitimes et agissent en secret, ces extensions indiquent clairement aux utilisateurs qu'elles vont collecter et vendre leurs données. C'est inscrit en toutes lettres dans la politique de confidentialité ; sauf que personne ne la lit.

LayerX a analysé les politiques de confidentialité de milliers d'extensions et a découvert plus de 80 extensions différentes qui collectent et vendent des données clients. Parmi ces extensions, on trouve :

• Un réseau de 24 extensions multimédias installées chez 800 000 utilisateurs, qui collectent des données de visionnage et des informations démographiques sur les principales plateformes de streaming telles que Netflix, Hulu, Disney+, Amazon Prime Video, HBO, Apple TV et autres.
• 12 bloqueurs de publicités distincts, totalisant plus de 5.5 millions d'utilisateurs installés, vendent ouvertement des données d'utilisateurs.
• Près de 50 autres extensions, totalisant plus de 100 000 utilisateurs, collectaient et revendaient les données de navigation des utilisateurs.

Bien que les extensions de navigateur puissent paraître inoffensives, ces résultats mettent en lumière les risques d'atteinte à la vie privée liés à une utilisation non réglementée de ces extensions.

Les petits caractères qui rendent tout légal

Politiques de confidentialité. Les lire, c'est d'un ennui mortel. Pour la plupart des utilisateurs, c'est pire que de lire les petites lignes de leur contrat de prêt immobilier ; c'est dire !

Sauf que nous l'avons fait.

Les chercheurs en sécurité Dar Kahllon et Guy Erez de LayerX Security ont analysé les politiques de confidentialité de milliers d'extensions de navigateur disponibles sur les plateformes officielles. Ils recherchaient une chose précise : si l'éditeur s'était explicitement réservé le droit de… vendre les données des utilisateurs.

Et nous les avons trouvées. Notre analyse a révélé au moins 80 extensions de ce type, certaines fonctionnant de concert, et développées par le même développeur. Elles comprennent des bloqueurs de publicités, des outils de streaming, des assistants de candidature, des extensions pour nouvel onglet et des plateformes d'aide à la vente B2B.

La plupart de ces politiques ne disent pas « nous vendons vos données », mais « nous pouvons les vendre ». C'est une protection juridique, mais cela signifie que vos données peuvent être vendues à tout moment, et vous y avez déjà consenti. Voici comment cela se traduit concrètement :

« Nous pouvons vendre ou partager vos informations personnelles avec des tiers. »

« Ces informations peuvent être vendues à des partenaires commerciaux ou partagées avec eux. »

Quoi ? Les extensions de navigateur ont des politiques de confidentialité ?!

Bon, pour être honnête, la plupart ne le font pas.

Figure 1. Transparence de la politique de confidentialité

Selon LayerX Rapport sur la sécurité des extensions de navigateur d'entreprise 202671 % des extensions disponibles sur le Chrome Web Store ne publient même pas de politique de confidentialité. 

Par conséquent, plus de 73 % des utilisateurs ont au moins une extension installée sans politique de confidentialité, sans aucune transparence quant au traitement de leurs données. De ce fait, notre analyse n'a pu se baser que sur les 29 % d'extensions disposant d'une politique de confidentialité. 

Et si l'on part du principe que certaines de ces extensions sans aucune politique de confidentialité revendent également vos données – et rien ne permet de supposer qu'elles sont meilleures –, le nombre réel d'extensions susceptibles de vendre vos données sur le Chrome Web Store se situe dans… des dizaines de milliers.

Comment nous avons analysé les données

Nous avons mis en place un système d'analyse des politiques de confidentialité associées aux extensions de navigateur dans les boutiques officielles, combinant classification automatisée et vérification manuelle.

À partir d'environ 9 000 extensions avec des URL de politique de confidentialité dans notre base de données, nous avons réussi à récupérer et à analyser 6 666 politiques.

Le pipeline comportait trois étapes :

1. Dans un premier temps, la classification par IA a permis de repérer les politiques divulguant la vente, la concession de licences ou le transfert commercial de données utilisateur. Nous avons ensuite sélectionné les correspondances les plus probables pour examen et vérifié manuellement chaque politique signalée.
2. Nous avons effectué une vérification manuelle pour éliminer les faux positifs, notamment :
   1. 1. Les outils de sécurité d'entreprise (par exemple, Fortinet, CrowdStrike) qui acheminent les données de navigation vers leurs propres serveurs dans le cadre d'un comportement de filtrage Web normal.
      2. Les mentions légales standard relatives au reciblage publicitaire prévues par le CCPA (par exemple, HubSpot, Calendly), où le partage de cookies avec des plateformes comme Google Ads peut techniquement être considéré comme une « vente » selon des définitions générales.
      3. Plateformes de monétisation des données consensuelles (par exemple, Swash) où les utilisateurs donnent explicitement leur accord et sont rémunérés

   L'ensemble de données final ne comprend que les extensions dont les politiques de confidentialité indiquent une véritable vente commerciale de données utilisateur à des tiers.

3. Au final, nous avons trouvé 82 extensions uniques réparties sur 94 fiches produits.. 75 extensions sont actuellement disponibles sur le Chrome Web Store. Les 7 autres ont été retirées, mais « retirées » ne signifie pas « désinstallées ». Les extensions retirées du Chrome Web Store peuvent rester actives dans les navigateurs qui les possèdent déjà.

Ces chiffres peuvent paraître faibles, mais il faut garder à l'esprit qu'ils ne concernent que les extensions dotées d'une politique de confidentialité (moins d'un tiers des extensions) et celles qui indiquent clairement l'utilisation de vos données. Le nombre réel est très certainement plus élevé.

Voici quelques-unes de nos principales conclusions :

L'empire QVI : un éditeur anonyme, 24 extensions, 800 000 utilisateurs

Lors de l'examen des vendeurs confirmés, une tendance s'est dégagée à plusieurs reprises. Des extensions différentes, des plateformes de streaming différentes, mais le même préfixe de trois lettres : QVI – abréviation de « Quality Viewership Initiative ».

Ce qui semblait être des outils sans lien apparent s'est avéré être une seule et même opération : 24 extensions de navigateur – 21 actuellement actives, 3 supprimées – couvrant la quasi-totalité des principaux services de streaming.

• Netflix
• Hulu
• Disney +
• Amazon Prime Video
• HBO Max
• Paon
• Paramount +
• Tubes
• Apple TV +
• Crunchyroll

Tous publiés par HideApp LLC, enregistrée au 1021 East Lincolnway, Cheyenne, Wyoming – une adresse partagée par des centaines d’autres SARL par le biais d’un service d’agent enregistré – et opérant sous la marque «application de chien. »

Les plus grandes extensions du réseau : 

• Photo de profil personnalisée pour Netflix (200 000 utilisateurs)
• Hulu Ad Skipper (100K)
• Netflix Image dans l'image (100K)
• Saut de publicité pour Prime Video (60K)
• Netflix Extended (60K)

Sur l'ensemble des 21 extensions actives, le réseau couvre près de 800,000 utilisateurs.

Figure 2. Page de l'extension « Image de profil personnalisée pour Netflix [QVI] » dans le Chrome Web Store

Mais leur politique de confidentialité mentionne un point que les fiches produits ne précisent pas. Ces extensions collectent de nombreuses informations, notamment :

• Affichage de l'historique
• Préférences de contenu
• Abonnements à la plateforme
• Contenu téléchargé
• Comportement en flux continu 

Ils collectent également l'âge et le sexe – et si vous ne fournissez pas de données démographiques, ils comparent votre adresse e-mail à des bases de données démographiques tierces pour combler les lacunes.

Figure 3. Données déclarées comme collectées par la politique de confidentialité de l'extension « Photo de profil personnalisée pour Netflix [QVI] ».

Cette politique décrit la vente de rapports aux créateurs de contenu et aux studios, aux plateformes de streaming, aux sociétés d'études de marché et aux agences de marketing, ainsi qu'aux « organisations qui achètent des données de visionnage anonymisées ».

En résumé, il s'agit d'un système de mesure d'audience distribué, fonctionnant directement dans les navigateurs des utilisateurs. Un éditeur anonyme collecte les données de visionnage sur toutes les principales plateformes de streaming, ce qui lui permet de recueillir des informations sur ce que regardent près de 800 000 personnes, quand et comment elles interagissent avec le contenu. Aucun de ces utilisateurs n'a donné son accord. Juridiquement, ils ont accepté les conditions d'utilisation en cliquant sur « Ajouter à Chrome ». En pratique, personne ne les a lues.

 

Des bloqueurs de publicités qui bloquent certaines publicités et vendent vos données à d'autres annonceurs.

Nous avons confirmé huit bloqueurs de publicité qui se réservent le droit de vendre ou de partager les informations des utilisateurs avec des tiers. Des outils que les gens installent pour empêcher le suivi – qui vendent en revanche les données de suivi. Ensemble, ils concernent plus de 5.5 millions d'utilisateurs.

• Peuplements AdBlocker (3M utilisateurs) vend des données de navigation à des tiers à des fins d’« analyse de marché ».
• Poper Blocker (2 millions d'utilisateurs) divulgue des identifiants de vente, l'activité de navigation, les profils comportementaux et des données sensibles déduites – y compris les conditions de santé, les croyances religieuses et l'orientation sexuelle, toutes déduites des URL que vous visitez.
• Blocage complet, un bloqueur de publicités pour YouTube (500 000 utilisateurs), vend des données anonymisées « à des fins analytiques et commerciales ». Publié par une entité appelée Curly Doggo Limited, basée à Londres.
• TwiBlocker (80 000 utilisateurs) révèle le transfert des données de navigation à des tiers qui « les traitent ou les vendent à des fins analytiques ».
• Urban AdBlocker (10 000 utilisateurs) acheminent les données de navigation et les conversations IA via le courtier de données BiScience.

Si votre bloqueur de publicités possède une politique de confidentialité de plus de deux paragraphes, lisez-la.

Figure 4. Bloqueur de publicités mis en avant dans le Chrome Web Store

Les opérateurs indépendants peuvent également vendre vos données

Ce ne sont pas les extensions les plus importantes de la liste, mais elles montrent à quel point le modèle de vente de données est répandu.

• Candidature automatique à l'emploi sur Career.io (10 000 utilisateurs) indique dans sa politique qu’elle peut utiliser les données personnelles collectées à partir de votre CV pour les vendre à des tiers, notamment des courtiers en données, à des fins de publicité ciblée et de profilage. Un outil de candidature qui vend votre CV.
• Mignonnes chiens (6 000 utilisateurs) est une extension pour nouvel onglet proposant un fond d'écran de chien mignon. Vente de données confirmée via le réseau Apex Media.
• EmailOnDeck (10 000 utilisateurs) est un service de messagerie temporaire – un outil que les gens utilisent spécifiquement lorsqu’ils ne voulez pas Ils souhaitent partager leurs véritables informations. Leur politique stipule qu'ils peuvent vendre, louer ou partager leur liste de diffusion.
• Sondage Junkie révèle la vente des URL visitées, des données de flux de clics et des « informations modélisées » sur les préférences des consommateurs à des agences d'études de marché, des agences de publicité et des fournisseurs d'analyse de données.
• Nouvel onglet Dashy Ce site (10 000 utilisateurs) affiche sur le Chrome Web Store la mention « ne vend pas vos données ». Or, sa politique de confidentialité indique : « Vente ou partage des données : Oui ». Nous pensons qu’il s’agit d’une formulation conforme au CCPA pour les analyses standard, et non pour la vente de données à des fins commerciales ; c’est pourquoi nous l’avons omise. Mais la contradiction entre la fiche produit et la politique de confidentialité est bien réelle. Si la politique d’un éditeur indique « Vente ou partage des données : Oui » et que sa fiche produit affirme le contraire, à qui les utilisateurs doivent-ils se fier ?

Quand les extensions de vos employés vendent des données

Parmi les 82 vendeurs confirmés, 29 sont des outils d'aide à la vente B2B. Leur activité is Ces données étant déjà connues, leur divulgation n'est pas surprenante. Nous ne les prenons pas en compte avec les extensions destinées aux consommateurs.

Mais ces éléments ont toute leur place dans cette discussion. Ces extensions sont installées sur les ordinateurs de l'entreprise. Cela signifie que les activités de navigation des employés, comme les URL internes, les tableaux de bord SaaS et les recherches effectuées, sont intégrées à des bases de données commerciales que vos concurrents peuvent acquérir. Le risque ne réside pas dans la tromperie des utilisateurs, mais dans la fuite de données de l'entreprise par un canal non surveillé.

Que devraient faire les équipes de sécurité à ce sujet ?

La plupart des évaluations de sécurité des extensions se concentrent sur les autorisations ou les indicateurs de menaces connus : elles signalent les extensions qui demandent un accès excessif ou qui correspondent aux informations sur les menaces. Cela permet de détecter les logiciels malveillants, mais pas une extension qui se réserve ouvertement le droit de vendre vos données de navigation.

Une extension de contrat incluant une clause de vente de données ne représente pas un risque hypothétique. Il s'agit d'une pratique commerciale établie, consignée dans un document que vos employés ont accepté sans le lire.

Trois questions qu'il convient de se poser : 

1. Quelles extensions sont installées sur les navigateurs des employés ? 
2. Quelles données ces éditeurs revendiquent-ils le droit de collecter ou de vendre ? 
3. L'activité de navigation des entreprises pourrait-elle se retrouver dans des ensembles de données commerciaux ?

La plupart des navigateurs prennent déjà en charge la gestion centralisée des extensions via des politiques d'entreprise : ExtensionSettings pour Chrome, les stratégies de groupe pour Edge et les configurations d'entreprise pour Firefox. Si vous n'avez pas de politique de gouvernance des extensions, c'est la première étape. Si vous en avez une, ajoutez l'examen de la politique de confidentialité aux critères d'évaluation. Les autorisations seules ne suffisent pas.

À cette fin, LayerX a ajouté un nouveau filtre pour détecter et filtrer (et bloquer, si souhaité) les extensions qui n'ont aucune politique de confidentialité ou qui se réservent le droit de vendre des données personnelles.

Envisagez de bloquer les extensions qui révèlent vendre des données utilisateur ou qui ne publient aucune politique de confidentialité.

Figure 5. Filtre de confidentialité des données de l'extension LayerX  

Conclusion

Les extensions de navigateur figurent parmi les outils les plus puissants et les moins surveillés du web. Si l'attention se porte souvent sur les extensions malveillantes qui volent activement des données d'utilisateurs et d'entreprises, les atteintes à la vie privée, bien que paraissant anodines, peuvent également s'avérer risquées.

Lire et analyser la politique de confidentialité de chaque extension utilisée par chaque utilisateur de votre organisation peut représenter des centaines, voire des milliers d'extensions individuelles ; il est clair que ce n'est pas faisable.

Les organisations doivent donc commencer à déployer des outils automatisés capables de restreindre les extensions suspectes et de prendre en compte les paramètres de confidentialité.