Ces extensions Chrome très populaires exposent en clair les données de millions d’internautes

À cela s’ajoutent des pratiques tout aussi discutables dans la gestion des identifiants techniques. Microsoft Editor, Equatio, Antidote Connector ou encore Trust Wallet, intègrent en clair des clés d’accès à des services tiers. Des identifiants liés à des API de télémétrie, de reconnaissance vocale, d’hébergement, de géolocalisation, ou encore de services financiers, insérés directement dans le JavaScript et facilement récupérables. Une fois extraits, ces éléments peuvent être détournés pour générer des requêtes frauduleuses, injecter de fausses données, saturer les services concernés, déclencher des opérations à distance. Pas besoin d’être un expert en sécurité pour comprendre que ce genre de négligence peut coûter cher – aux développeurs comme aux utilisateurs et utilisatrices.