Malveillances Google Chrome

Cette page web ne mentionne que la dernière (ultime ?) malveillance de Google Chrome, liée à Manifest V3.

Chez Google comme ailleurs, la volonté sans cesse renouvelée des actionnaires de maximiser leurs profits par l'exploitation du bétail humain réduit les libertés individuelles et collectives jusqu'à peau de chagrin. En remplaçant en janvier 2023 la version 2 de l'infrastructure de sous-programme (API) du navigateur web Google Chrome par sa version 3 qui induit des régressions technologiques, la société Alphabet Google interdit le fonctionnement de toutes les extensions de navigateur qui protégeaient auparavant les données personnelles des internautes, c'est-à-dire qui bloquaient l'espionnage de leur intimité (uBlock, etc.). Cela signifie que Google Chrome expose l'utilisateur à un risque sécuritaire afin de satisfaire le business mondial du vol informatique de données dont la société Alphabet Google est un grand spécialiste.

Mais ce risque sécuritaire du navigateur Google Chrome n'est pas nouveau. Publiquement accusé de mensonge commercial à propos de son mode de navigation soit-disant privée, une action de groupe en justice est menée contre la société malveillante Alphabet Google pour ce motif depuis la fin 2022 :

• 17/10/2022: rtbf.be > Google Chrome : le mode incognito ne serait pas vraiment privé : Bloomberg a déterré des échanges concernant le mode incognito du navigateur Google Chrome. Et comme on le découvre, Lorraine Twohill, responsable marketing et Sundar Pichai, PDG de la firme de Mountain View, ont conscience que le mode privé n'a rien de privé…
• 28/10/2022: lemondeinformatique.fr > Google joue gros pour tromperie sur la navigation privée de Chrome

De surcroît, puisque la société Alphabet Google développe une préversion de Google Chrome quasi-libre sous le nom de Chromium dont le code source est public, de nombreux navigateurs web dérivés (forks) comme Microsoft Edge, Opera, Vivaldi, voire même Brave risquent de répercuter cette régression technologique, à cause d'un manque de temps des équipes pour défaire le mauvais travail qui a été fait par les équipes de Alphabet Google.

De nombreux navigateurs web du marché sont basés (forks) sur la préversion quasi-libre Chromium de Google Chrome, c'est-à-dire sur le moteur de rendu de page web (HTML) Blink qui est développé par Google. Tôt ou tard, ces navigateurs dérivés seront contraints d'appliquer les changements régressifs opérés dans Google Chrome. Car répercuter les mises à jour de sécurité d'un logiciel sans répercuter les mises à jour régressives de fonctionnalités implique une charge de travail croissante au fur et à mesure de l'évolution du logiciel originel.

Aujourd'hui plus que jamais, il est fortement recommandé de ne pas utiliser les navigateurs web malveillants basés sur Google Chrome dont voici une liste non exhaustive :

• Amazon Silk
• Avast Secure Browser
• Beaker
• Blisk
• Brave – À surveiller dans la presse et sur leur blog
• CentBrowser
• Chromium
• Citrio
• Citrus Browser
• Cốc Cốc
• Comodo Dragon
• CoolNovo
• Decentr
• Dooscape
• Eolie
• Epic
• Epic Privacy Browser
• Google Chrome
• Iridium Browser
• JioPages
• Kiwi for Android
• Microsoft Edge
• NAVER Whale
• Opera
• Opera GX
• Polarity Browser
• Puffin Browser
• qutebrowser
• Redcore
• RockMelt
• RockMelt
• Sleipnir
• Slimjet
• Slimjet
• SRWare Iron
• Torch
• Ungoogled-chromium
• UR Browser
• Vivaldi
• Yandex Browser

Voir aussi : en.wikipedia.org > List of web browsers

Pour garantir la sécurité au sens large qui comprend la sécurité des données personnelles, les navigateurs web basés sur Firefox, c'est-à-dire sur le moteur de rendu de page web (HTML) Gecko, sont très fortement recommandés :

• Mozilla Firefox : mozilla.org > fr > firefox > browsers
• Firefox ESR (Extended Support Release (Publication de support étendu), à la stabilité accrue pour les entreprises) : mozilla.org > fr > firefox > enterprise
• Abrowser (Basé sur Mozilla Firefox et uniquement disponible sous GNU/Linux Trisquel)
• Tor Browser (basé sur Firefox ESR et le sous-système Tor) : torproject.org/fr
• GNU IceCat et IceCatMobile (basé sur Firefox ESR et disponible uniquement sous GNU/Linux et Android)
• LibreWolf (Basé sur Firefox, mais sans la télémétrie Mozilla ni les autres services dispensables de Mozilla : Pocket, Synchronisation Cloud Firefox, etc., sans rien de sponsorisé ou recommandé et naturellement configuré avec les paramètres anti-pistage stricts) : librewolf.net (mise à jour semi-automatique du logiciel, soit par l'extention LibreWolf Updater extension, soit par le programme Windows LibreWolf-WinUpdater)

Ainsi que d'autres navigateurs web non basés sur le moteur de rendu de page web (HTML) Gecko :

• Privacy Browser (navigateurs web léger pour smartphones sous Android 6.0+ et compatible avec le proxy Tor Orbot)
• Lightning (navigateurs web léger compatible avec les vieux smartphones sous Android 4.4+)
• Zirco Browser (navigateurs web léger compatible avec les vieux smartphones sous Android 4.0+)
• Tint Browser (navigateurs web léger compatible avec les vieux smartphones sous Android 4.0+)

Voir aussi : en.wikipedia.org > List of web browsers

• 09/12/2021: eff.org > Chrome Users Beware: Manifest V3 is Deceitful and Threatening (Utilisateurs de Chrome, attention : Manifest V3 est trompeur et menaçant) :
• 13/09/2022: reddit.com > This is the time to switch to Firefox. (If you are using Chrome read this message)

Manifest V3, le panier de changements bientôt définitif de Google Chrome dans le monde des extensions de navigateur Web, a été présenté par ses auteurs comme "un pas dans la direction de la vie privée, de la sécurité et des performances". Mais nous pensons que ces changements sont une mauvaise affaire pour les utilisateurs. Nous l'avons dit depuis l'annonce de Manifest V3, et nous continuons à le dire alors que sa mise en œuvre est maintenant imminente. Comme FLoC et Privacy Sandbox avant lui, Manifest V3 est un autre exemple du conflit d'intérêt inhérent au fait que Google contrôle à la fois le navigateur web dominant et l'un des plus grands réseaux de publicité sur Internet.

Manifest V3, ou Mv3 en abrégé, est carrément nuisible aux efforts de protection de la vie privée. Il limitera les capacités des extensions web, en particulier celles qui sont conçues pour surveiller, modifier et calculer en parallèle la conversation que votre navigateur entretient avec les sites web que vous visitez. Dans le cadre des nouvelles spécifications, les extensions de ce type - comme certains bloqueurs de suivi de protection de la vie privée - verront leurs capacités considérablement réduites. Les efforts de Google pour limiter cet accès sont préoccupants, surtout si l'on considère que des traceurs sont installés sur 75 % du million de sites Web les plus visités.

Il est également douteux que Mv3 apporte beaucoup à la sécurité. Firefox possède le plus grand marché d'extensions qui n'est pas basé sur Chrome, et l'entreprise a déclaré qu'elle adopterait Mv3 dans l'intérêt de la compatibilité entre navigateurs. Pourtant, lors du 2020 AdBlocker Dev Summit, le responsable des opérations des modules complémentaires de Firefox a déclaré à propos du processus d'examen de la sécurité des extensions : "Pour les modules complémentaires malveillants, nous pensons que pour Firefox, il a été à un niveau gérable…. puisque les modules complémentaires sont surtout intéressés par la saisie de mauvaises données, ils peuvent toujours le faire avec l'API webRequest actuelle qui n'est pas bloquante." En clair, cela signifie que lorsqu'une extension malveillante se faufile à travers le processus d'examen de sécurité, elle est généralement intéressée par la simple observation de la conversation entre votre navigateur et les sites Web que vous visitez. L'activité malveillante se produit ailleurs, après que les données ont déjà été lues. Un processus d'examen plus approfondi pourrait améliorer la sécurité, mais Chrome n'a pas dit qu'il allait le faire. Au lieu de cela, sa solution consiste à restreindre les capacités de toutes les extensions.

Quant à l'autre justification de Chrome pour Mv3 - les performances - une étude réalisée en 2020 par des chercheurs de Princeton et de l'Université de Chicago a révélé que les extensions de confidentialité, celles-là mêmes qui seront entravées par Mv3, améliorent en fait les performances du navigateur.

Les spécifications de développement des extensions de navigateur Web peuvent sembler obscures, mais les implications plus larges devraient intéresser tous les citoyens de l'internet : il s'agit d'une nouvelle étape vers la définition par Google de notre mode de vie en ligne. Si l'on considère que Google est la plus grande société de publicité au monde depuis des années, ces nouvelles limitations sont paternalistes et carrément effrayantes.

Mais ne vous contentez pas de nous croire sur parole. Voici quelques réflexions de technologues, de défenseurs de la vie privée et de développeurs d'extensions qui partagent notre inquiétude concernant le Manifeste V3 :

"Un navigateur web est censé agir au nom de l'utilisateur et respecter les intérêts de ce dernier. Malheureusement, Chrome a maintenant un passé d'agent de Google, et non d'agent d'utilisateur. C'est le seul grand navigateur web qui ne dispose pas de protections significatives de la vie privée par défaut, qui pousse les utilisateurs à lier leurs activités à un compte Google et qui met en œuvre de nouvelles capacités publicitaires envahissantes. Les dernières modifications apportées par Google auront pour effet de supprimer les extensions de confidentialité de Chrome, alors que des recherches universitaires ont démontré qu'aucun changement n'était nécessaire. Ces décisions hostiles aux utilisateurs sont toutes directement imputables au modèle commercial de surveillance de Google et rendues possibles par sa domination du marché des navigateurs de bureau."

Jonathan Mayer, Université de Princeton

"Manifest V3 positionne Chrome comme l'arbitre tout-puissant des logiciels qui vivent et de ceux qui meurent, brisant l'idéal d'un éventail diversifié d'extensions servant les préférences et valeurs légitimes d'utilisateurs tout aussi divers. En 2017, lorsque Google a banni AdNauseam de la boutique Chrome, il a sommairement coupé des dizaines de milliers d'utilisateurs des données qu'ils avaient accumulées, et les a privés d'une extension gratuite et open-source pour contrer le profilage et la manipulation en ligne. En rétrospective, AdNauseam était le canari dans la mine de charbon, car Mv3 est maintenant sur le point de couper les utilisateurs d'une gamme d'outils de confidentialité inestimables (y compris les bloqueurs de publicité) sur lesquels des milliers, voire des millions, comptent. Un navigateur qui fait du favoritisme pour défendre les intérêts de ses propriétaires étouffe les développeurs indépendants et innovants, tout en réduisant les possibilités pour les individus de façonner leurs expériences en ligne."

Helen Nissenbaum et Daniel Howe (créateurs d'AdNauseam et TrackMeNot)

"Le manifeste V3 est un recul préjudiciable pour la vie privée sur internet".

Ghostery company blog

"Le Manifeste V3 est une spécification fondée sur des opinions ; il impose des limites pour améliorer l'expérience de l'utilisateur. Cela semble bien sur le papier, mais la réalité est tout autre. Chez Ghostery, nous pensons que le Manifest V3 de Google nuit aux extensions de protection de la vie privée.

Au lieu d'exiger des travailleurs de service et de supprimer le blocage de webRequest, Google devrait rendre les travailleurs de service et declarativeNetRequest facultatifs, en fournissant des solutions adaptées à différents cas d'utilisation. En fin de compte, il s'agit du choix de l'utilisateur et de l'innovation.

Au lieu de devoir réinventer la roue, Ghostery aimerait se concentrer sur la recherche de nouveaux moyens d'empêcher le suivi. Après tout, c'est ce que les extensions de navigateur sont et devraient être, un terrain de jeu pour l'innovation et la voie express pour l'amélioration du navigateur."

Krzysztof Modras, directeur de l'ingénierie et des produits chez Ghostery.

"Presque toutes les extensions de navigateur telles que vous les connaissez aujourd'hui seront affectées d'une manière ou d'une autre : les plus chanceuses connaîtront "seulement" des problèmes, certaines seront paralysées et d'autres cesseront littéralement d'exister."

Andrey Meshkov, blog de la société AdGuard

"De toutes les révolutions d'API d'extension de navigateur que j'ai vues en 16 ans de développement de NoScript, Manifest V3 est de loin le pire des contrevenants : un énorme pas en arrière, et un pas mal justifié. Manifest V3 réduit les capacités d'extension et la liberté des utilisateurs du Web de personnaliser leur expérience de navigation.

Bien qu'il y ait de nombreuses raisons de douter des prétendues améliorations en matière de protection de la vie privée et des gains de performance théoriques, les perturbations pour les extensions existantes sont douloureusement réelles : les extensions non triviales devront être réécrites, et dans certains cas, elles devront abandonner des fonctionnalités fondamentales.

Mais ce qui est encore plus grave, c'est que la capacité des développeurs d'extensions de navigateur à innover et, dans le cas des extensions de sécurité et de protection de la vie privée, à répondre rapidement et de manière créative aux menaces émergentes, est sérieusement mise à mal. La perte nette est énorme, pour les développeurs mais surtout pour la sécurité en ligne et la liberté de choix des internautes."

Giorgio Maone, auteur de NoScript

"Pour SingleFile, je considère que la migration vers Manifest V3 est une régression majeure d'un point de vue fonctionnel et technique. Elle remet également en cause une partie du travail effectué. Malheureusement, elle n'apporte aucun gain en retour pour les utilisateurs. C'est l'exemple même des dommages collatéraux que peut provoquer le Manifest V3."

Gildas, auteur de SingleFile

Traduit avec DeepL.com/Translator (version gratuite)

Source originelle de cet article : 09/12/2021: eff.org > Chrome Users Beware: Manifest V3 is Deceitful and Threatening