Bonjour,

Numerama a propagé une information en grande partie fausse (comme toujours s'agissant de Numerama critiquant Google) :

Google Chrome interdit l'installation des extensions non approuvées

Ne faisons pas durer le suspense : c'est faux, on peut encore installer n'importe quelle extension, facilement, sans passer à Chromium, sans être un "hacker", sans manipulation secrète, sans recompiler.

L'évolution de la politique de Google Chrome est décrite dans la page d'aide de Google Chrome expliquant le message d'erreur qui apparaît quand on tente d'installer automatiquement une extension à partir d'une source autre que Google :

Protecting Windows users from malicious extensions
Thursday, November 07, 2013

Extensions are a great way to enhance the browsing experience; whether users want to quickly post to social networks or to stay up to date with their favorite sports teams. Many services bundle useful companion extensions, which causes Chrome to ask whether you want to install them (or not). However, bad actors have abused this mechanism, bypassing the prompt to silently install malicious extensions that override browser settings and alter the user experience in undesired ways, such as replacing the New Tab Page without approval. In fact, this is a leading cause of complaints from our Windows users.

Since these malicious extensions are not hosted on the Chrome Web Store, it’s difficult to limit the damage they can cause to our users. As part of our continuing security efforts, we’re announcing a stronger measure to protect Windows users: starting in January on the Windows stable and beta channels, we’ll require all extensions to be hosted in the Chrome Web Store. We’ll continue to support local extension installs during development as well as installs via Enterprise policy, and Chrome Apps will also continue to be supported normally.

If your extensions are currently hosted outside the Chrome Web Store you should migrate them as soon as possible. There will be no impact to your users, who will still be able to use your extension as if nothing changed. You could keep the extensions hidden from the Web Store listings if you like. And if you have a dedicated installation flow from your own website, you can make use of the existing inline installs feature.

Protecting our users is a key priority, and we believe this change will help those whose browser has been compromised by unwanted extensions. If you have questions, please get in touch with us on the Chromium extensions group.

Erik Kay, Engineering Director

http://blog.chromium.org/2013/11/protecting-windows-users-from-malicious.html

La phrase essentielle a échappé aux pas-très-fins limiers de Numerama :

We’ll continue to support local extension installs during development as well as installs via Enterprise policy, and Chrome Apps will also continue to be supported normally.

Donc :
- un développeur peut installer sa propre extension
- un utilisateur peut installer la propre extension d'un développeur (donc n'importe quelle extension)
- définir une "politique d'entreprise" permet d'ajouter des sites Web autorisés à installer automatiquement des extensions

Je précise que toute installation d'une extension à Chrome exige de valider le manifeste des droits d'accès demandés par l'extension, qui est une liste qui fait PEUR.

Pour être plus précis:

Seule la version 'dev' de Chrome permettra d'installer des extensions sans passer par le Chrome Store.

Un développeur ou un utilisateur qui veut utiliser une extension qui n'est pas dans le store devra soit:

 -utiliser Chrome sur autre chose que Windows
 -utiliser Chrome version dev (chrome-dev) ou Chrome Canari
 -être dans un environnement d'entreprise avec des stratégies d'entreprise actives.

Pour l'utilisateur lamda sous Windows c'est donc vrai en pratique, il sera bloqué d'installer des extensions non approuvées et c'est une très bonne chose.

La raison de fond n'est pas liée a Chrome mais a Windows qui n'a pas de système de protection entre applications ou d'"élévation" intermédiaire: c'est tout ou rien. Donc un site malveillant peut faire télécharger un .exe a un utilisateur (souvent en le trompant par exemple en faisait croire que c'est la mise a jour de Flash), l'utilisateur lance le .exe et accepte l'avertissement de sécurité de Windows et paf c'est cuit, le .exe installe une extension dans Chrome (ou autre) sans que l'utilisateur le sache.

Chrome lui meme est sécurisé et un site ne peut installé un truc via Chrome lui même. Le probleme c'est la passoire qu'est Windows et son système tout-ou-rien d'élévation. Microsoft n'a toujours pas capté qu'il manque un niveau intermédiaire entre full admin et utilisateur normal, un niveau qui interdit a une application de modifier les données d'une autre applications (base de registre et AppData) mais qui n'interdit pas a un utilisateur d'installer ou d’enlever une application. Bref comme c'est fait sur Android par exemple. Microsoft répond souvent que le fautif c'est l'utilisateur ce qui en soit est vrai mais ça ne résout en rien le probleme.

A  noter que le probleme existe aussi sous Linux et MacOS mais comme ses plateformes ont moins d'audience il n'y a quasiment pas de sites malveillants qui proposent des '.exe' dangereux pour ses plateformes donc pour le moment Google n'a pas mit cette restriction pour eux.

(sans passer par la base de registre)

Sans passer par quoi ?

il sera bloqué d'installer des extensions non approuvées et c'est une très bonne chose.

Mettre entre les mains d'un tiers la décision de ce qui est bien ou mal, c'est pas une bonne chose.

A  noter que le probleme existe aussi sous Linux et MacOS mais comme ses plateformes ont moins d'audience il n'y a quasiment pas de sites malveillants qui proposent des '.exe' dangereux pour ses plateformes donc pour le moment Google n'a pas mit cette restriction pour eux.

Et surtout : ce n'est pas parce qu'un site me fait télécharger un binaire quelconque que je vais l'exécuter.

Déjà en essayant d'installer une extension ailleurs que chez Google, j'ai un message d'erreur.

Qu'est-ce que ça changera?

Déjà, aujourd'hui, Google Chrome m'empêche d'installer des extensions à partir d'autres sites.