L'installation d'extensions sur Chrome pourrait présenter un sérieux risque de sécurité. Un développeur est en effet parvenu à coder une extension permettant de récupérer les différents mots de passe enregistrés par le navigateur, et de se les faire envoyer par mail.

Un plug-in voleur de mots de passe

Selon Andreas Grech, qui a découvert la faille, le gestionnaire d'extensions de Chrome donnerait accès à un certain nombre de données du navigateur, y compris les champs concernant le nom d'utilisateur et le mot de passe d'un internaute. Il a lui-même testé la faille et assure qu'elle fonctionne contre Twitter, Gmail et Facebook. « L'extension que j'ai créée est très simple. Quand un utilisateur envoie un formulaire, il essaie de capturer les champs “nom d'utilisateur” et “mot de passe”, et me les envoie par email grâce à un script en Ajax », explique-t-il.

Après avoir dévoilé le code malicieux sur son site, il explique que cette faille en question pourrait se retrouver dans n'importe quelle extension, puisque l'exécution du code est totalement transparente du point de vue de l'utilisateur. Il appelle donc à la vigilance, tandis que Google doit désormais travailler à un correctif.