Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierFlux principal

Adblock for YouTube - 10 millions d'installs et un piège dormant

Par : Korben ✨
26 juin 2026 à 00:20

Mise à jour du 26 juin 2026 : Mathias Rochus, le fondateur d'AdBlock Ltd qui édite l'extension, m'a contacté pour réagir. Il souligne que cette capacité n'a jamais servi (le rapport Island le confirme) et que le scriptlet en cause, trusted-create-element, n'est pas maison : il vient de la bibliothèque open-source de scriptlets d'AdGuard que beaucoup de bloqueurs embarquent. Surtout, il annonce corriger les deux problèmes dès aujourd'hui : suppression pure et simple du scriptlet inutilisé pour qu'aucune config serveur ne puisse l'appeler, et vérification du vrai domaine youtube.com au lieu d'une chaîne posée n'importe où dans l'URL. La nouvelle version doit encore passer la revue de Google.

Une précision quand même, parce que c'est le cœur du sujet : selon le rapport Island, quand le serveur renvoie certains paramètres, l'élément créé est une balise <script> dont le contenu est fourni directement par le serveur. Autrement dit, le verrou qu'on retire servait bien à faire tourner du code venu d'ailleurs. Le correctif, lui, est une bonne nouvelle pour les 10 millions d'utilisateurs. Je reviendrai vérifier une fois la mise à jour en ligne.


Si vous avez installé une extension qui s'appelle "Adblock for YouTube" pour virer les pubs de vos vidéos, prenez deux minutes pour lire mon article.

Les chercheurs Oleg Zaytsev et Shachar Gritzman, de la boîte de sécurité Island, viennent de passer au peigne fin une de ces extensions installée par plus de 10 millions de personnes, et ce qu'ils ont trouvé dedans n'est pas très joli joli. Le truc affiche fièrement un badge "Featured" sur le Chrome Web Store, fait bien le boulot promis (il bloque les pubs), mais il embarque aussi de quoi exécuter n'importe quel bout de JavaScript sur n'importe quel site que vous visitez.

Et ça, ça craint !

Mais avant que vous fermiez l'onglet en panique, sachez tout d'abord qu'il existe plusieurs extensions qui portent ce nom. Celle qui pose problème a un identifiant précis, cmedhionkhpnakcndndgjdbohmhepckk. Donc pour vérifier, tapez chrome://extensions dans votre barre d'adresse, activez le "Mode développeur" en haut à droite, et regardez l'ID affiché sous chaque extension. Si vous tombez sur celui-là, virez-la sans réfléchir. Si c'est un autre identifiant, ce n'est pas l'extension visée par cette analyse, ce qui ne veut pas dire pour autant que tous les bloqueurs du store sont blancs comme neige, hein...

Ce qui inquiète Island, ce n'est pas une ligne de code qui vole vos données là, maintenant mais plutôt une capacité en sommeil. L'extension contient ce que les chercheurs appellent les ingrédients architecturaux pour faire tourner du code arbitraire, et la mèche peut être allumée par un simple changement côté serveur sans que cela se voit.

En clair, du jour au lendemain, le bidule pourrait se mettre à lire vos pages, aspirer vos données et à agir à votre place dans vos comptes perso, vos applis de boulot ou vos panneaux d'admin. Au moment de l'analyse, le mécanisme dormait. Il n'était pas absent.

Et le détail qui fait sourire jaune, c'est quand même ce garde-fou censé limiter l'extension à YouTube. En théorie elle ne s'active que sur le site de Google mais en pratique, elle tourne sur absolument tous les sites, avec une vérification qui regarde juste si la chaîne "youtube.com" apparaît quelque part dans l'URL.

Oui n'importe où, du coup une adresse comme bank.example.com/search?q=youtube.com passe le test sans problème donc autant vous dire que le verrou ne verrouille pas grand chose...

Cette extension traîne sur le store depuis 2014. Au départ c'était donc un bête bloqueur de pub YouTube, jusqu'à un changement de propriétaire en 2018. Les premières versions embarquaient carrément un SDK d'injection de pub baptisé Unistream, finalement retiré en juin 2024, et les chemins d'injection de script pilotables à distance sont présents depuis février 2025. 3 autres extensions de blocage de pub liées au même écosystème ont déjà été dégagées du Chrome Web Store pour cause de malware.

Toutefois, pour le moment, il n'y a aucune preuve qu'un payload malveillant ait réellement été poussé aux utilisateurs, mais c'est la combinaison de plusieurs de ces facteurs qui pue : une extension à 10 millions d'installs, un accès à tous les sites, un canal d'injection téléguidé, un passé d'injection de pub et des cousines déjà bannies. Gloups !

Donc je vous conseille vivement de faire le tour de vos extensions. CRXplorer vous aidera à débusquer celles qui sont louches, et si vous cherchez à bloquer les pubs proprement, j'avais fait le point sur les bonnes méthodes pour ça . Petit rappel au passage, sur Chrome le uBlock Origin complet a été débranché par le passage à Manifest V3, et il ne reste que sa version Lite, forcément moins fortiche.

Donc si vous voulez le vrai, c'est sur Firefox que ça se passe maintenant.

Bref, méfiez-vous des bloqueurs de pub qui réclament la lune et au moindre doute sur l'ID, désinstallez cette merde !

Source

Orion - Le navigateur Mac qui ne carbure pas à Chromium

Par : Korben ✨
24 juin 2026 à 22:16

Quand je regarde la liste des navigateurs divers et variés qu'on a à notre disposition, franchement, je déprime... Chrome, Edge, Brave, Opera, Vivaldi, et même feu Arc... tous tournent sur Chromium, donc sur le moteur de Google. C'est naze pour la diversité de l'écosystème, vous ne trouvez pas ?

Alors on a toujours notre bon vieux Firefox évidemment mais il en existe un autre dont on parle très peu qui s'appelle Orion. C'est Kagi (la boîte derrière le moteur de recherche payant du même nom, fondée par Vladimir Prelovac) qui le développe pour Mac, iPhone et iPad et sa particularité, c'est qu'il est bâti sur WebKit (utilisé aussi par Safari), ne contient pas la moindre télémétrie et dispose également d'un bloqueur de pub et de traqueurs déjà câblé à l'intérieur.

Et surtout, Orion sait faire tourner les extensions Chrome ET Firefox, en même temps, ce qu'aucun autre navigateur au monde ne sait faire. Vous récupérez votre uBlock Origin, votre gestionnaire de mots de passe ou votre Dark Reader habituels, sans vous prendre la tête, tout ça en utilisant un moteur qui n'est pas Chromium. Et comme Chrome est justement en train de tuer les dernières astuces qui faisaient survivre uBlock Origin , l'abandon de Chrome et ses dérivés est quelque chose qui s'envisage de plus en plus pour beaucoup d'entre nous.

En plus c'est hyper simple... Vous chopez le .dmg sur Orion , vous importez vos petites affaires, et vous voilà sur un navigateur sait préserver votre vie privée.

Et en plus, c'est mui mui rapido puisque sur le benchmark Speedometer , Orion sort en tête avec 34,5, devant Safari et ses 33,5, et il laisse looooiiiiin derrière à la ramasse Chrome (25,6) tout comme Firefox qui reste quand même mon chouchou (20,7). Après si vous êtes déjà un utilisateur aguerri de Safari, la différence est minime, c'est vrai.

Mais là où ça se sent vraiment, c'est sur la mémoire occupée car Orion sait profiter des années d'optimisations qu'Apple a peaufinées dans WebKit, comme ça, une fois vos onglets fermés il squatte deux à trois fois moins de RAM que les autres gloutons à base de Chromium. Sur un MacBook par exemple, ça se traduit notamment par un ventilo qui la ferme et une batterie qui tient toute la journée.

Orion a aussi ses propres idées (fortement emprunté à Firefox si vous voulez mon avis, mais c'est pas un reproche, je trouve que c'est bien). Je pense au mode Focus qui transforme n'importe quel site en application plein écran, sans barre d'outils ni onglets, ce qui est super pratique par exemple pour bosser dans un Google Docs ou un Notion sans avoir la tentation des 40 onglets qui clignotent à côté.

Y'a aussi les Profiles as Apps qui cloisonnent complètement votre navigation perso et votre navigation pro, comme deux navigateurs distincts qui ne se parlent pas. Puis le Link Preview pour jeter un œil à un lien sans l'ouvrir, et enfin un Page Tweaker pour bidouiller l'apparence d'un site qui vous pique les yeux. Bref, là où Safari vous laisse choisir entre trois fonds d'écran et puis c'est tout, Orion se customise jusqu'à l'os comme un Firefox.

Mais le vrai sujet avec Orion, c'est qui le fabrique et surtout comment.

Car Kagi n'est pas une entreprise comme les autres. C'est une Public Benefit Corporation bootstrappée par Prelovac, qui ne vit que grâce à l'argent de ses abonnés, et ça c'est beau ^^.

Y'a plus que 3 moteurs sérieux sur la planète : Blink (le Chromium de Google), WebKit (Safari, et donc Orion) et Gecko (Firefox) alors garder un WebKit vivant en dehors d'Apple, moi je vois ça comme un acte de résistance face à Google. Comme dans la nature avec les maladies, l' homogénéité logicielle est une faiblesse... On peut le constater quand la moindre faille dans Chromium touche d'un coup la quasi-totalité du web.

Korben.info est dispo en anglais maintenant... hé ouaiiis !

Mais bon, bref, je vais pas vous vendre du rêve non plus car Orion a aussi des défauts et des vrais. Le premier, c'est qu'il n'est pas open source, ce qui est quand même un comble pour un navigateur qui se vend sur la confiance et la vie privée. Quand Kagi jure qu'il y a zéro télémétrie, vous devez les croire sur parole (ou reverser le logiciel...). Et puis c'est vrai que les extension Chrome et Firefox fonctionnent mais pas systématiquement. Y'en a parfois qui réclament des permissions tordues, d'autres qui plantent comme des merdes. Et si vous blindez des trucs comme Tampermonkey avec des tas de userscripts trop cool, y'a des chances qu'Orion parte en cacahuète.

Et comme le bloqueur de pub laisse passer parfois des pubs (oupsy oups), gardez sous le coude de quoi bloquer les pubs et les trackers par vous-même.

Toutefois, rien de rédhibitoire, mais à savoir avant de déménager dessus.

Voili voilou. C'est dispo sur macOS, iOS, iPadOS, Linux en beta x86_64 et Windos un jour peut-être. Et Android ? Euh comment vous dire... bah nan.

La version de base d'Orion est gratuite, et Orion Plus, qui débloque le reste des fonctions, se prend soit en abonnement, soit en licence à vie payée une bonne fois pour toutes, ce qui change agréablement des abonnements à rallonge.

A découvrir ici (vous verrez, le premier lancement d'Orion, c'est Hollywood le truc).

PACT - Le token Cloudflare qui veut remplacer les CAPTCHA

Par : Korben ✨
24 juin 2026 à 16:04

Je viens d'apprendre que Cloudflare s'était associé à Chrome, Firefox et Edge pour régler un truc qui nous pourrit tous la vie sans que nous y pensions vraiment, à savoir prouver qu'on est des humains.

Leur projet s'appelle PACT pour Private Access Control Tokens, et l'idée c'est de remplacer les affreux CAPTCHA par un titi jeton cryptographique anonyme que votre browser baladera de sites en sites.

Alors comment ça fonctionne cette nouvelle connerie ?

Hé bien un site qui a déjà une bonne raison de vous croire humain, genre un service où vous avez un compte, émet un token anonyme. Votre navigateur le conserve, et quand vous débarquez ailleurs, il le présente comme une preuve que vous n'êtes ni un robot, ni un alien, ni un pervers narcissique manipulateur.

Comme vous avez passé le test une fois, vous n'avez donc plus à recliquer sur des feux tricolores et des passages piétons aux quatre coins du web... Et comme le token ne contient aucune donnée perso, le site qui le reçoit ne sait pas d'où il sort.

Derrière PACT, rien de sorcier niveau techno, c'est juste du Privacy Pass, l'architecture que l'IETF a posée noir sur blanc en 2024 avec les RFC 9576 à 9578 . Apple fait déjà exactement ça depuis 2022 avec ses Private Access Tokens planqués dans iOS 16 et macOS Ventura, et Cloudflare est même l'un de leurs émetteurs en production. Mais PACT, c'est la version next-gen de ce truc. Au lieu d'attester juste "cet appareil est un vrai iPhone", on atteste "il y a un humain dans la boucle". Les signatures RSA aveugles font que l'attesteur ne sait pas quel site vous visitez, et que le site, lui, ne sait pas qui vous êtes.

C'est plutôt une bonne idée, je trouve. Sauf que cette histoire de "personne", ça inclut aussi les bots autorisés. Genre votre agent IA qui réserve un billet de train ou fait vos courses pendant que vous dormez. Cloudflare veut également leur filer des tokens à eux aussi, pour les démarquer des crawlers sauvages qui pompent le web à l'aspirateur de chantier.

Et ça tombe bien, parce qu'aujourd'hui plus de la moitié du trafic web mondial, c'est déjà des bots.

Maintenant, le truc qui me chiffonne avec PACT c'est que ça crée mécaniquement un web à deux vitesses. D'un côté le trafic on aura le trafic "de confiance" avec son joli token, de l'autre tout le reste, traité comme suspect par défaut. Donc si vous surfez avec Tor, un navigateur exotique ou une config un peu trop cheloue, et que personne ne veut vous émettre de jeton parce que vous êtes un haxxor intransigeant avec sa vie privée, vous devenez un citoyen de seconde zone du web. Sans compter que ce serait ENCORE Cloudflare, déjà videur d'une énorme part d'Internet, qui se retrouvera à arbitrer qui mérite son laissez-passer.

Et puis ça ne règle pas le pistage. Le fingerprinting, votre IP, les mille autres signaux que votre navigateur balance dans la nature restent en place. PACT vire juste le CAPTCHA, mais pas la surveillance. Mozilla jure sur la tête de sa mère que sa participation sert justement à garder ce système ouvert, et j'avoue que je suis content qu'ils soient dans la même pièce que les autres filous, qui pourraient en profiter pour réécrire la norme entre eux. Maintenant, si ce qui reste de votre vie privée déjà bien publique avec toutes nos données perso qui ont fuitée, vous tient encore à cœur, un petit navigateur blindé comme LibreWolf ou un CAPTCHA qui ne vend pas vos clics tel que ALTCHA restent des choix plus sérieux que d'attendre un jeton de bonne conduite.

Voilà... Pour l'instant PACT n'est qu'un projet, sans date de sortie ni même de lieu de standardisation confirmé, et même si l'idée de virer les CAPTCHA est hyper séduisante, reste encore à savoir qui tiendra les clés du laissez-passer...

Source

Cloudflare, Firefox, Chrome et Microsoft Edge s’allient pour créer PACT, un protocole qui veut en finir avec les CAPTCHA

23 juin 2026 à 16:03

Cloudflare s'associe aux trois principaux navigateurs du marché pour développer un nouveau protocole baptisé PACT, censé remplacer les CAPTCHA et le suivi intrusif par des jetons cryptographiques anonymes. Un projet ambitieux, mais dont le déploiement réel reste encore très incertain.

Cloudflare, Firefox, Chrome et Microsoft Edge s’allient pour créer PACT, un protocole qui veut en finir avec les CAPTCHA

23 juin 2026 à 16:03

Cloudflare s'associe aux trois principaux navigateurs du marché pour développer un nouveau protocole baptisé PACT, censé remplacer les CAPTCHA et le suivi intrusif par des jetons cryptographiques anonymes. Un projet ambitieux, mais dont le déploiement réel reste encore très incertain.

Chrome débranche les dernières combines qui faisaient survivre uBlock Origin

10 juin 2026 à 17:03

Google ferme les dernières portes. À partir de fin juin, avec Chrome 150 ou 151, les combines qui permettaient encore de garder uBlock Origin en vie dans le navigateur vont sauter une à une, et avec elles à peu près tous les bloqueurs de publicité qui reposaient sur l'ancienne plomberie de Chrome.

Petit retour en arrière. Une extension obéit à un cadre technique imposé par Google, le Manifest. Dans sa version 2, dite MV2, ce cadre laissait l'extension inspecter et modifier en direct chaque requête qu'une page web envoyait, ce qui donnait à un outil comme uBlock Origin, le bloqueur open source de Raymond Hill, sa fameuse capacité à filtrer dans le moindre recoin et à corriger ses règles en temps réel.

La version 3 change tout. Avec MV3, c'est désormais le navigateur qui bloque, à partir d'une liste de règles figée et plafonnée que l'extension se contente de lui fournir. Fini l'interception à la volée.

Google parle d'enterrer MV2 depuis 2019. Sauf que des soupapes traînaient encore. Une politique d'entreprise au nom à coucher dehors, ExtensionManifestV2Availability, plus quelques drapeaux internes et même une bidouille du registre Windows, permettaient de rallumer manuellement une extension que Chrome venait pourtant de couper.

Et c'est exactement ce bouquet de rustines qui disparaît. Le drapeau ExtensionManifestV2Disabled est déjà parti avec Chromium 150. La 151 doit emporter le reste, dont la fameuse politique et l'option AllowLegacyMV2Extensions, celles sur lesquelles s'appuyaient les derniers contournements. La bidouille du registre, elle, rendra l'âme dans la foulée.

Résultat, beaucoup d'utilisateurs ne retrouveront tout bonnement plus uBlock Origin dans leur liste d'extensions, sans le moindre bouton pour le ranimer.

Reste l'alternative maison, uBlock Origin Lite, signée du même auteur et compatible MV3. Sauf qu'allégée, ici, ce n'est pas un slogan : cette mouture refile au navigateur une liste de règles préchargée et perd au passage le filtrage dynamique, le nettoyage cosmétique poussé des pages et la possibilité de pointer soi-même l'élément gênant à virer. Elle stoppe les pubs classiques, beaucoup moins les formats modernes qui se réinventent en permanence.

Et Chrome n'est pas seul concerné. Edge et Opera, bâtis sur le même moteur Chromium, vont suivre la même pente et appliquer ces restrictions à leur tour. Firefox, de son côté, continue de faire tourner la mécanique MV2 et donc le uBlock Origin complet, alors que Brave et Vivaldi promettent de la maintenir sans s'engager pour autant sur le très long terme.

Officiellement, Google invoque la sécurité et la performance, l'idée étant qu'une extension capable d'éplucher tout votre trafic peut aussi jouer les mouchards. L'argument se tient. Il arrange juste drôlement bien une boîte dont l'essentiel des revenus vient précisément de cette publicité qu'on essaie de bloquer.

Si vous tenez à votre vieux bloqueur, passez sur Firefox.

Source : Bleeping computer

Google Chrome 148 : cette version historique corrige 127 vulnérabilités

11 mai 2026 à 23:00

Google a publié Chrome 148, la nouvelle version stable de son navigateur web, et elle a une particularité : elle permet de corriger 127 failles de sécurité.

Le post Google Chrome 148 : cette version historique corrige 127 vulnérabilités a été publié sur IT-Connect.

108 extensions, un seul pirate aux commandes ? Comment un immense réseau de pièges sur Chrome a contaminé des milliers de victimes

14 avril 2026 à 15:50

Dans un article de blog publié le 13 avril 2026, les équipes de recherche de Socket révèlent que, pendant plusieurs mois, 108 extensions Chrome apparemment anodines ont secrètement œuvré pour le compte d’un même opérateur, exfiltrant des sessions, des identifiants Google et des données de navigation vers une infrastructure centralisée

DBSC : Google déploie sa nouvelle arme contre le piratage de sessions sur Chrome

10 avril 2026 à 15:07

Depuis le 9 avril 2026, Google déploie une protection cryptographique dans Chrome 146 sur Windows, conçue pour neutraliser l'une des techniques les plus répandues dans l'arsenal des cybercriminels : le vol de cookies de session.

Comment un malware déguisé en débogueur parvient à voler la clé secrète de Chrome

23 mars 2026 à 09:52

Dans un article de blog publié le 19 mars 2026, les chercheurs de Gen Threat Labs mettent en lumière les nouvelles capacités de VoidStealer, un infostealer vendu sur le dark web depuis décembre 2025, qui a récemment développé une technique inédite pour contourner le chiffrement renforcé de Google Chrome.

❌
❌