Steam Inventory Helper, une extension récente de Google Chrome, a ajouté un composant de surveillance à l’extension qui surveille l’activité de navigation.
Steam Inventory Helper est une extension Chrome populaire pour la plate-forme de jeu Steam qui améliore la gestion des stocks, les transactions, les achats et les ventes. Il est particulièrement populaire auprès des joueurs de CounterStrike Global Offensive, mais fonctionne également avec d'autres jeux Steam livrés avec le support d'éléments virtuels.
Wartab, l’utilisateur de Reddit, a été le premier à signaler la surveillance. Un post sur le forum officiel CounterStrike Global Offensive sur Reddit souligne ce que Steam Inventory Helper fait en arrière-plan.
Essentiellement, Steam Inventory Helper exécute du code lors de tout chargement de page, même sur des pages internes telles que about: blank.
Le code introduit par la mise à jour surveille les éléments suivants:
- Le référent (le site d'où vous venez).
- L'heure à laquelle le site a été chargé et quitté.
- Lorsque la souris est déplacée.
- Focus d'entrée.
- Touches appuyées (mais pas ce qui est tapé).
Il envoie tout lien sur lequel vous cliquez pendant que l'extension est active à un script en arrière-plan. Ce script surveille les requêtes HTTP effectuées et envoie un résumé de ces requêtes à un serveur.
En résumé, ils surveillent les sites que vous visitez et peuvent envoyer une grande partie de votre activité en ligne sur leur propre serveur. Je ne pouvais pas encore savoir quand ils le feraient, mais cela semble être pour du matériel promotionnel. Plus important encore, à l'avenir, même si ce qu'ils font maintenant est légitime, vous ne serez pas informé des modifications apportées à leurs autorisations, car il dispose déjà de toutes les autorisations nécessaires à cet égard.
L'extension de navigateur pour Chrome a demandé de nouvelles autorisations lors de la mise à jour, et voici comment les modifications ont été repérées.
Steam Inventory Helper demande à "lire et modifier toutes vos données sur les sites Web que vous visitez". Il est clair que cela n'est pas nécessaire pour la tâche très spécifique de gestion de l'inventaire Steam.
La bonne nouvelle est que les utilisateurs doivent accepter la nouvelle autorisation avant que l'extension ne soit activée après la mise à jour. Si ce n'est pas le cas, l'extension est désactivée et ne surveille pas l'activité de navigation.
L'extension très bien notée a déjà reçu une part équitable d'une étoile de la part des utilisateurs qui ont remarqué qu'elle demandait de nouvelles autorisations permettant de surveiller les utilisateurs.
Si vous utilisez l'extension, il est recommandé de la désinstaller immédiatement car vous ne souhaitez peut-être pas que l'intégralité de votre historique de navigation soit transférée sur un serveur tiers.
Mots de clôture
Ce n'est pas la première fois que les scripts automatisés de Google laissent passer les logiciels malveillants ou les logiciels publicitaires, et c'est l'une des raisons pour lesquelles je préfère le système de Mozilla qui vérifie toute mise à jour d'extension ou toute nouvelle extension avant sa publication.
Conseil : vérifiez les extensions Chrome avant de les télécharger.
