La Sécurité des Données de 4,6 Millions d'Utilisateurs a été Compromise en Raison d'une Faille dans l'Extension Evernote pour Chrome
Vous savez peut-être qu'il est très important de faire attention aux extensions de navigateur que vous installez sur le PC et vous savez quel type de critère vous devez prendre en considération avant de décider si un module complémentaire particulier doit être autorisé ou non près de votre navigateur. Idéalement, vous n'ajouterez que des extensions provenant de fournisseurs renommés, disposant de bases d'utilisateurs volumineuses et bénéficiant de critiques généralement positives dans le monde informatique. Comment Evernote Web Clipper pour Chrome se compare-t-il aux extensions dont nous avont parlées?
Eh bien, il a été développé par les mêmes personnes qui ont créé Evernote, une application de prise de notes populaire. L'extension elle-même a été notée par plus de 130 mille personnes et cette dernière a obtenu une note moyenne d'environ 4,7 étoiles, ce qui est impressionnant. Selon le Chrome Web Store, il a été téléchargé par plus de 4,6 millions d'utilisateurs.
Théoriquement, l'extension est conçue pour une utilisation en toute sécurité. Toutefois, dans la réalité, il y a quelques semaines, cela n'était pas le cas.
L'extension Evernote Web Clipper pour Chrome présentait une vulnérabilité critique en matière de sécurité des internautes
Le mois dernier, des chercheurs de Guardio ( https://guard.io/blog/evernote-universal-xss-vulnerability ) ont découvert une faille de sécurité assez grave liée à l'extension Web Clipper pour Chrome. C’était une vulnérabilité universelle de cross-site scripting, qui, en tant qu’exploit de validation de principe montre, qu'elle peut être utilisée pour voler quoi que ce soit des informations de compte Facebook aux données de transaction PayPal.
C'est ce qui a rendu la vulnérabilité si dangereuse. Comme Guardio a noté, les extensions les plus vulnérables ont une portée assez limitée et n'affectent que les données gérées par le fournisseur du module complémentaire. Le problème dans l'extension Web Clipper, cependant, c'est qu'elle permet le vol de toutes sortes d'informations qui n'étaient aucunement liées à Evernote.
Pour accomplir leur but, tout ce que les pirates informatiques devaient faire c'était d’attirer la victime vers un site Web malveillant et de cacher du code dans un iframe. Une erreur dans les mécanismes de désinfection signifiait que l'extension pouvait être forcée d'exécuter le code et de laisser les criminels s'infiltrer dans la machine ciblée.
Evernote a rapidement corrigé le problème
Comme vous pouvez le constater, même les grandes entreprises qui fournissent des services à des millions d’utilisateurs commettent des erreurs lorsqu’elles créent leurs logiciels. Dans ces cas, il est très important de poursuivre l'occasion et de voir comment ces erreurs sont corrigées. Nous sommes heureux d'annoncer que Evernote a pris la question très au sérieux.
Le 27 mai, Guardio a contacté le fournisseur de logiciels et divulgué en privé le problème de sécurité. En moins de 24 heures, Evernote a reconnu le problème et a pris les mesures nécessaires pour le régler. Le lendemain, le mérite des chercheurs de Guardio a été attribué au Panthéon de la sécurité Evernote, et deux jours plus tard, le 31 mai, une nouvelle version de l’extension Web Clipper pour Chrome a été officiellement publiée. Les experts de Guardio ont confirmé que l'actualisation effectuée a corrigé la vulnérabilité, ce qui signifie que si vous utilisez Web Clipper sur votre navigateur web Chrome, vous devez vous assurer que vous disposer de la version 7.11.1 ou d'une plus récente.
