Google a indiqué en fin de semaine dernière que son navigateur web Chrome 25, actuellement en cours de développement, bloquerait automatiquement les add-on installés à la volée par d'autres logiciels. En cela, il se cale sur ce qu'a fait son concurrent Mozilla avec Firefox il y a un an. On trouve déjà cette fonction dans Chrome 25 pour Windows disponible sur le canal développeur depuis le mois dernier. Le navigateur devrait arriver dans une version stable dans la seconde moitié de février 2013.

Selon Peter Ludwig, un responsable produit de Chrome cité par Computerworld, Chrome 25 désactivera automatiquement toute extension installée sans bruit et empêchera le fonctionnement de celles qui ont été précédemment installées par d'autres logiciels. Les utilisateurs du navigateur de Google pourront les activer à la main ou bien les enlever et les supprimer du PC.

Des milliers de plantages avec un add-on Skype en 2011

Même si Peter Ludwig n'a pas utilisé le mot « sécurité » dans son billet daté du 21 décembre, la raison de cette modification est claire. Au départ, les installations « silencieuses » étaient destinées à permettre aux utilisateurs d'ajouter des extensions utiles à Chrome lorsqu'ils installaient d'autres applications, explique le responsable produit. Malheureusement, cette fonction a été utilisée trop souvent pour installer des extensions à Chrome sans demander l'avis des utilisateurs.

Voilà plus d'un an que Mozilla a procédé à la même modification. Il l'a annoncé en août 2011 et l'a mis en place avec Firefox 8. Un menu installé dans le navigateur avec Skype avait par exemple causé tant de plantages en janvier 2011 (Près de 40 000 en une seule semaine) que Mozilla avait bloqué l'add-on après avoir qualifié de récidiviste l'éditeur de l'outil de voix sur IP. Et en 2009, c'est Microsoft qui avait installé sans bruit un add-on à Firefox qui avaient rendu les utilisateurs du navigateur vulnérables aux attaques.

Il reste des add-on malveillants sur Chrome Web Store

Google avait déjà fait un pas dans cette direction cette année. Avec Chrome 21, lancé en juillet, le navigateur n'acceptait plus les add-on installés directement depuis les sites web, mais seulement ceux venant de Chrome Web Store. Auparavant, tout site pouvait proposer à un utilisateur de Google d'installer une extension. « Seuls les hackers sont susceptibles de créer des sites web déclenchant l'installation d'extensions malveillantes », notait alors Google pour expliquer les nouvelles règles

« Les extensions sont souvent conçues pour récupérer les informations que vous entrez sur le web, que les hackers peuvent réutiliser à des fins mal intentionnées ». Cette mesure de sécurité ne s'est toutefois pas révélée infaillible, ainsi que l'a montré une arnaque Facebook détaillée la semaine dernière par Webroot. L'add-on malveillant se trouvait sur le Chrome Web Store, alors même que Google avait expliqué avoir commencé à analyser chaque extension chargée sur sa boutique et enlevé celles qu'elle avait identifiées comme étant malveillantes.
La version dev de Chrome 25 pour Windows peut être téléchargée sur le site de Google.