Google et Mozilla bannissent l’extension Stylish pour avoir espionné les utilisateurs

Par

le

Google et Mozilla ont éjecté la populaire extension Stylish de leurs catalogues respectifs à la suite d’une plainte selon laquelle l’app collectait l’historique de navigations des utilisateurs.

Google et Mozilla ont soudainement supprimé l’extension Stylish de leurs catalogues respectifs. L’extension open-source qui permet aux utilisateurs de personnaliser l’apparence d’une page Web récupérait l’historique de l’utilisateur qui pouvait être utilisé par son propriétaire SimilarWeb pour identifier les utilisateurs. Alors que ni Google ni Mozilla n’ont détaillé le comportement malveillant de l’extension qui compte près de deux millions d’utilisateurs, l’ingénieur en logiciel Robert Heaton a publié un billet pour détailler les actions présumées qui existaient depuis janvier 2017. À cette époque, SimilarWeb avait publié une nouvelle politique.

Dans son article, Heaton affirme que l’extension Stylish «vole tout votre historique Internet» et envoie un historique de navigation avec un identifiant unique directement sur les serveurs de SimilarWeb. « Stylish envoie notre activité de navigation complète à ses serveurs, avec un identifiant unique », explique l’ingénieur. « Cela permet à son nouveau propriétaire, SimilarWeb, de connecter toutes les actions d’un individu dans un seul profil et pour les utilisateurs comme moi qui ont créé un compte Stylish sur userstyles.org, cet identifiant unique peut facilement être lié à un cookie de connexion. Cela signifie que non seulement SimilarWeb possède une copie de nos historiques de navigation complets, mais qu’il possède également suffisamment d’autres données pour lier théoriquement ces historiques aux adresses e-mail et aux identités réelles. « 

Conformément à la politique officielle qui a été introduite en janvier 2017, plusieurs mois après l’achat de Stylish par ElegWeb en octobre 2016, l’extension recueille des données anonymes. Cependant, Heaton souligne que la même extension attache l’identifiant aux données collectées et l’envoie aux serveurs de SimilarWeb pour une utilisation ultérieure. « Cela nécessite seulement une demande de suivi contenant un cookie de session pour associer de façon permanente un compte d’utilisateur à un identifiant de suivi Stylish », écrit-il. « Cela signifie que Stylish et SimilarWeb disposent toujours de toutes les données dont ils ont besoin pour relier une identité réelle à un historique de navigation, si la société ou un pirate choisissent de le faire. »

Comme cité par ZDNet, SimilarWeb a réfuté les allégations et a déclaré: «Nous ne connaissons pas et ne pouvons pas déterminer l’identité des utilisateurs à partir desquels les informations non personnelles sont collectées. »

Cela dit, il semble que Google et Mozilla soient conscients du risque et ont donc préféré supprimé l’extension qui offre un éditeur CSS pour permettre aux utilisateurs de personnaliser facilement n’importe quelle page Web avec leurs effets personnalisés.

Mozilla aurait supprimé l’extension Stylish de sa boutique Firefox Add-ons cette semaine. « Nous avons décidé de bloquer l’extension en raison de la violation de certaines prescriptions au sein de notre politique de gestion des données », a écrit Andreas Wagner, ingénieur logiciel de Mozilla, en réponse à un rapport de bug soulevé par un utilisateur de Firefox.

Contrairement à Mozilla, Google n’a pas clarifié son action à travers une annonce publique au moment où les pratiques de Stylish ont été dévoilées, cependant, le lien vers la liste des extensions Stylish sur le Chrome Web Store redirige vers une page 404.

Les utilisateurs qui utilisent déjà Stylish sur leurs navigateurs Web ne sont plus en mesure d’utiliser ses fonctionnalités. L’extension suspecte n’a pas été supprimée des navigateurs. De plus, un avertissement sera envoyé aux utilisateurs pour redémarrer leur navigateur, après quoi ils ne seront probablement pas en mesure de réinstaller Stylish.


Articles recommandés