4 points par GN⁺ 2023-08-10 | 1 commentaires | Partager sur WhatsApp
  • Le mainteneur de Hover Zoom+ a rendu publiques les propositions de monétisation et de rachat reçues pour l’extension entre 2015 et 2026, expliquant qu’il les a refusées afin de ne pas vendre ses utilisateurs
  • Les propositions reviennent sans cesse aux mêmes méthodes pour convertir les permissions du navigateur et la base d’utilisateurs en argent : vente de données utilisateur anonymisées, monétisation du trafic de recherche, insertion de liens d’affiliation, affichage de publicités ou de coupons, installation de SDK, ou encore rachat pur et simple de l’extension
  • Les propositions insistent sur des formules comme « anonyme », « sans données personnelles », « sans impact sur l’UX » ou « conforme aux règles de Google », tout en réclamant des données comportementales telles que les erreurs DNS, la GEO, les DAU/MAU, les URL, le referrer, le browsing behavior, le clickstream ou les requêtes de recherche
  • Le mainteneur explique que Hover Zoom+ compte environ 400 000 utilisateurs sur plusieurs navigateurs et fonctionne sur toutes les pages, ce qui crée pour un acteur malveillant une vaste surface d’attaque et un fort potentiel de revenus
  • Dans les commentaires, plusieurs mesures pratiques sont proposées pour réduire les risques liés aux extensions : vérifier le code source, examiner la liste des permissions, consulter l’onglet privacy practices du Chrome Web Store, lire les avis récents, inspecter les requêtes réseau, et limiter le Site Access à « On Click »

La préoccupation exposée par le mainteneur

  • Le mainteneur de Hover Zoom+ explique avoir reçu pendant des années de nombreuses propositions pour monétiser l’extension, et précise qu’il la publie « pour le plaisir, pas pour en tirer profit »
  • Il indique que la principale raison pour laquelle il continue lui-même la maintenance est qu’il lui serait difficile de faire confiance à quelqu’un d’autre pour ne pas céder à ce type d’offres
  • Il dit avoir un emploi suffisamment bien rémunéré pour conserver sa « boussole morale » et ignorer ces propositions
  • Tous les développeurs ne disposent pas de la même stabilité financière, et il espère que ce fil montrera la pression économique à laquelle les développeurs d’extensions peuvent être confrontés

Les types de propositions de monétisation qui reviennent sans cesse

  • Beaucoup de propositions approchent Hover Zoom+ en affirmant que sa base d’utilisateurs sur le Chrome Web Store permettrait de générer des « revenus conséquents »
  • Les méthodes les plus récurrentes sont les suivantes
    • Collecter des données utilisateur anonymisées pour les revendre sous forme de ciblage publicitaire, d’études de marché, de business intelligence ou de données de clickstream
    • Ajouter Bing, Yahoo, Google Search ou un search lander/feed afin de partager les revenus issus des requêtes de recherche et des clics sur les publicités
    • Insérer dans les résultats de recherche organiques des store logo, affiliate link ou liens « Sponsored », avec commission lorsqu’un achat est effectué
    • Injecter des formats publicitaires comme coupon, cashback, PopUnder, in-text, new tab, search injection ou in-image monetization
    • Ajouter un SDK ou quelques lignes de JS pour intégrer à l’extension des fonctions de collecte de données ou d’affichage publicitaire
    • Racheter l’extension elle-même, ou proposer un transfert de propriété de l’extension Chrome sans transfert du compte Google
  • Certaines propositions mettent en avant une monétisation peu visible pour l’utilisateur avec des formules comme « soft to hard methods », « invisible monetization methods » ou « does not interfere with UX »

Les données demandées et les montants évoqués dans les propositions

  • L’une des propositions de 2015 affirmait qu’en ne monétisant pas les anonymous user data, le mainteneur risquait de « passer à côté de beaucoup d’argent », en mentionnant des réseaux publicitaires approuvés par la NAI et l’IAB
  • Une proposition de 2016 autour de l’étude des erreurs DNS demandait les données suivantes
    • NXD, c’est-à-dire les domaines inexistants saisis par l’utilisateur
    • l’heure d’occurrence
    • la GEO
    • un identifiant utilisateur aléatoire unique, prétendument hachable et non traçable
  • À partir de 2020, les propositions reviennent régulièrement sur des éléments comme la GEO, les utilisateurs actifs quotidiens et mensuels, les catégories d’intérêt, les URL, le referrer, le pays, le timestamp, le browsing behavior, le clickstream ou l’historique de navigation
  • Les montants proposés varient énormément
    • Proposition de rachat en 2016 : 14 500 $
    • Proposition d’intégration d’une analytics platform en 2020 : 2 000 $/mois
    • Proposition de monétisation de la recherche en 2020 : jusqu’à 9 000 $ par jour revendiqués pour une base de 300 000 utilisateurs
    • Proposition d’intégration d’un SDK de data marketplace en 2021 : 30 000 $/an
    • Proposition liée à la donnée en 2023 : jusqu’à 20K $/mois
    • Proposition de partenariat clickstream data en 2024 : 30 000 à 40 000 $/mois
    • Proposition de rachat en 2024 : 30 000 $
    • Proposition de rachat en 2025 : 0,05 à 0,15 $ par utilisateur
  • Fin 2024, une proposition de monétisation par abonnement prenait comme hypothèse un taux de conversion de 5 % sur une base de plus de 400 000 utilisateurs, avec par exemple environ 19 800 $/mois à 0,99 $, 99 800 $/mois à 4,99 $ et 199 800 $/mois à 9,99 $

La réponse du mainteneur et ses critères de jugement

  • À propos du fait qu’il ne divulgue pas les noms d’entreprise, il répond que certaines sociétés peuvent être riches et opérer légalement, et qu’il ne souhaite pas prendre le risque d’un contentieux
  • Il explique qu’une popup publicitaire est plus facile à repérer par l’utilisateur, qui peut alors désactiver l’extension responsable, tandis que des méthodes plus discrètes peuvent durer bien plus longtemps
  • Sur la télémétrie, le mainteneur dit que du point de vue de l’utilisateur, il faut équilibrer utilité et caractère intrusif du suivi, mais que du point de vue du développeur, ne rien intégrer du tout en matière de tracking permet de toucher le public le plus large et d’éviter les débats sans fin sur le niveau d’anonymisation
  • À ceux qui soulignent que le nom Hover Zoom+ peut être confondu avec Hover Zoom, anciennement lié à une controverse de type malveillant, il répond que son objectif n’est pas de convaincre tous les utilisateurs, que plus de 300 000 personnes y voient déjà de la valeur, et que puisque l’extension est gratuite et non monétisée, il ne compte pas perdre du temps à changer de nom ou à fournir des preuves supplémentaires
  • Dans un commentaire de 2023, le mainteneur résume la valeur de Hover Zoom+ en deux points
    • environ 400 000 utilisateurs tous navigateurs confondus
    • une extension active non pas sur quelques sites, mais sur toutes les pages
  • Selon lui, la combinaison de ces deux facteurs crée une grande surface d’attaque potentielle vis-à-vis des utilisateurs finaux, et donc un potentiel de revenus important pour des acteurs malveillants

Signaux d’alerte pour les utilisateurs et les développeurs

  • Un commentaire note qu’après le rachat d’une extension, une version ultérieure peut embarquer un adware ou un script de botnet, qui fonctionnera sans popup de permission supplémentaire grâce aux autorisations déjà accordées
  • Un autre explique que certaines propositions autour des données peuvent être liées à la vente de données utilisateur à des fins AdTech/RTB, et renvoie vers des ressources de Privacy International sur l’adtech
  • À propos des propositions demandant des données sur les erreurs DNS, un commentaire estime qu’il peut s’agir d’une tentative d’intercepter le trafic utilisateur en enregistrant des domaines issus de fautes de frappe courantes ou de domaines expirés
  • Un commentaire mentionnant le cas The Great Suspender souligne que certaines opérations ne visent pas simplement l’installation d’un SDK, mais le transfert du repository ou de la propriété de l’extension elle-même
  • L’une des propositions de 2026 mentionnait des permissions liées à you.com, la lecture du contenu des pages, la capture de frappes clavier, l’envoi vers des serveurs externes, l’accès aux cookies de session et des schémas de collecte de l’historique de navigation ; le mainteneur précise toutefois dans une note que Hover Zoom+ ne fait rien de tout cela, et que cette proposition montre surtout quelles données cette entreprise souhaitait obtenir

Comment vérifier si une extension a été monétisée

  • Le mainteneur dit que la méthode la plus fiable reste de lire le code source
  • Il suggère aussi plusieurs autres signaux de vérification
    • vérifier dans l’onglet privacy practices du Chrome Web Store si le développeur déclare ne pas collecter ni utiliser de données
    • vérifier si le code source est public
    • examiner la liste des permissions de l’extension pour voir si elle demande des autorisations suspectes sans rapport avec sa fonction
    • regarder s’il existe, dans les avis récents, un motif récurrent de plaintes sur son comportement
    • consulter des estimations de risque sur des sites comme chrome-stats
  • Le mainteneur ajoute que tous ces signaux peuvent être manipulés, et qu’ils servent donc davantage à détecter un problème qu’à prouver l’innocuité
  • Un autre commentaire suggère que, le code pouvant être difficile à lire à cause de Webpack ou d’autres outils, il peut être plus simple d’inspecter les requêtes réseau émises par l’extension
  • Le même commentaire recommande aussi de vérifier les requêtes du background ou du service worker, et explique que beaucoup d’extensions s’exécutent inutilement sur toutes les pages, d’où l’intérêt de limiter dans Chrome le Site Access à « On Click »

Réactions de la communauté et suite des discussions

  • Plusieurs commentaires saluent le fait que le mainteneur n’ait pas vendu ses utilisateurs et qu’il ait rendu publiques ces propositions
  • Un utilisateur estime qu’il faut renforcer la sensibilisation, tant côté utilisateurs que côté développeurs d’extensions, à ce type de pratiques
  • Le mainteneur répond que la situation autour des extensions malveillantes est déjà suffisamment mauvaise et que davantage de personnes devraient en être conscientes
  • À un commentaire signalant que le sujet avait été repris sur Hacker News, le mainteneur dit espérer que cela inspirera d’autres développeurs à prendre position
  • Un développeur d’extension explique qu’avec ses 170 000 utilisateurs, il a lui aussi reçu de nombreuses propositions similaires et que, même si elles sont très tentantes quand on est étudiant sans argent, il a choisi de monétiser autrement, par des moyens non intrusifs

1 commentaires

 
GN⁺ 2023-08-10
Avis de Hacker News
  • ChatGPT for Google était numéro 1 sur HN au début de l’année, et quand on regarde maintenant le dépôt GitHub, cette extension a déjà été vendue
    J’avais moi aussi une extension gratuite en side project avec environ 25 000 installations, et j’ai reçu pas mal de messages de gens qui disaient vouloir « m’aider à la monétiser »
    J’ai donc pensé qu’il valait la peine de recenser toutes ces pistes de monétisation douteuses : https://mattfrisbie.substack.com/p/the-ugly-business-of-mone...

    • La proposition la plus hallucinante que j’aie vue côté apps mobiles consistait à activer le micro de l’utilisateur pour écouter les publicités TV environnantes et suivre à quelles publicités il avait été exposé hors ligne
      Le secteur de l’adtech est vraiment répugnant dans son ensemble
    • Si on me proposait 11 000 dollars pour une extension, je pense que ce serait assez difficile de refuser
      Avec cette somme, le problème de l’apport pour une maison deviendrait beaucoup moins important
      C’est toujours bien de réfléchir à l’endroit où l’on place sa ligne éthique
    • Je ne suis pas du tout surpris : l’un des e-mails que j’ai reçus était strictement identique au texte de l’article lié, à l’exception du nom de l’extension
      Une grande partie de ces propositions poubelles est clairement automatisée
      Ça donne quelque chose comme : « Je suis fan de [extension name], et j’aime vraiment à quel point elle est pratique et utile.
      Avez-vous déjà envisagé de proposer des emplacements promotionnels aux personnes qui veulent faire connaître leur produit dans votre extension ? J’aimerais promouvoir mon extension dans [extension name] et discuter de cette possibilité.
      Faites-moi signe si cela vous intéresse. »
  • Pour info, l’extension JSON Formatter [0], que certains ici utilisent probablement, m’appartient
    Je l’ai créée il y a 12 ans, publiée en open source, je l’ai maintenue jusqu’à aujourd’hui et [1] elle compte actuellement 2 millions d’utilisateurs
    Je jure solennellement que je n’ajouterai jamais de code envoyant des données où que ce soit, et que je ne la céderai pas à quelqu’un qui ferait ce genre de chose
    J’ai reçu à plusieurs reprises des offres en cash tentantes de la part de personnes louches qui semblaient vouloir voler les données de tout le monde, ou pire
    Parfois, je regrette presque d’y avoir associé mon nom. Sans ça, j’aurais peut-être pu prendre l’argent sans nuire à ma réputation
    Mais comme mon nom y est associé, il ne me reste qu’à rester honorable. L’avantage, c’est que je pourrai toujours dire que je ne l’ai jamais vendue
    [0] https://chrome.google.com/webstore/detail/json-formatter/bcj...
    [1] Honnêtement, ça ne m’a pas demandé beaucoup d’efforts

    • J’avais autrefois une extension pour laquelle j’avais promis de ne jamais la vendre, ni même de la mettre à jour après la première version
      C’était une seule ligne, donc il n’y avait absolument rien à changer
      Mais le Chrome Web Store l’a retirée plus de cinq ans plus tard, probablement parce que je n’avais jamais publié de mise à jour et que des champs désormais obligatoires étaient restés vides
    • Si les offres en cash sont proportionnelles linéairement au nombre d’utilisateurs, cette extension devait être vraiment tentante
      Respect pour ne pas l’avoir vendue
      Je me demande si tu as déjà envisagé de commencer à publier les offres de rachat, comme je le fais
    • Je trouve ça vraiment étrange
      Tu apportes clairement de la valeur au monde, et selon ma conception morale, tu devrais avoir le droit de récupérer une partie de cette valeur sans faire de choses douteuses
      Je suis le fondateur de Streak, et nous monétisons directement notre extension, comme Grammarly et d’autres
      Je me demande si tu as déjà essayé de demander directement de l’argent aux utilisateurs pour le travail fourni
    • En tant qu’utilisateur quotidien de cette extension, je te suis vraiment reconnaissant pour cette fermeté
      Dans ce secteur, il semble de plus en plus difficile de conserver une forte éthique au fil du temps
    • Je me demande si, quand une extension que j’utilise est vendue, on me demande confirmation si les permissions changent
      Ou si c’est juste glissé en douce
      J’aimerais au moins voir une notification pop-up qui servirait de signal d’alerte
  • Je suis mainteneur
    Mon extension est en pratique presque impossible à monétiser, donc quelle que soit l’offre reçue, elle implique une certaine concession morale
    La proposition la moins intrusive que j’aie vue jusqu’ici consistait à ajouter dans mon extension un lien réciproque vers une autre extension, un peu comme DarkReader le fait sur son site web
    Même si cela ne porte pas atteinte aux données des utilisateurs, je ne le fais pas parce que cela reviendrait à recommander indirectement cette autre extension, et je n’ai aucun contrôle sur la façon dont ils traitent les données utilisateur

    • Ce que tu fais est vraiment admirable
      À grande échelle, cela aide à battre en brèche l’idée, rarement formulée mais répandue, selon laquelle « tout le monde finit par vendre »
    • Merci pour ta transparence
      Je n’utilise plus Chrome aujourd’hui, mais j’aimais beaucoup Hover Zoom+ à l’époque, et ma femme l’utilise encore
      C’est une excellente extension, et après avoir lu ce commentaire ainsi que l’issue GitHub liée, je suis encore plus rassuré
    • J’adorais Hover Zoom à l’époque, mais je ne sais plus s’il y avait bien eu une controverse liée à un malware, ou si je confonds avec un plugin au nom similaire
      À ce moment-là, je suis passé à imagus et je m’y suis habitué
      En tout cas, merci d’avoir refusé les tentatives de monétisation
  • Je ne connais pas la solution à ce problème, mais je connais plusieurs entreprises légitimes et de confiance qui monétisent déjà leurs utilisateurs avec de l’argent réel tout en vendant leurs données utilisateur pour environ 20 livres par an
    Je ne le ferais jamais, parce que l’atteinte à la vie privée va à l’encontre de mes convictions profondes, mais il y a là un conflit insoluble
    D’un côté, je sais que l’immense majorité des utilisateurs préfère vendre sa vie privée plutôt que de payer ne serait-ce qu’un centime
    Ils cliqueront toujours volontiers sur le bouton « vendre mes données » plutôt que sur le bouton « payer »
    J’ai eu affaire à suffisamment d’utilisateurs pour pouvoir dire que je le sais
    Beaucoup d’utilisateurs piquent une crise si ce n’est pas gratuit, mais ne perdent pas une minute de sommeil à l’idée de céder leurs données personnelles
    Bien sûr, je parle globalement de la majorité
    D’un autre côté, j’aimerais qu’Internet soit un endroit où les acteurs sans scrupules ne prospèrent pas
    Dans le monde réel, la plupart du temps, on ne s’attend pas à obtenir quelque chose gratuitement ; pourquoi Internet devrait-il être différent ?
    Pourquoi tout le monde, moi y compris, cherche-t-il toujours du gratuit sur Internet ?
    Le pire, c’est qu’au final, les seuls acteurs prêts à dépenser de l’argent en ligne sont les voleurs de données et les annonceurs
    Les autres cèdent leur âme
    On attend des développeurs qu’ils travaillent gratuitement pour que toute cette structure continue de tenir

    • Vous dites que « les gens cliqueront toujours volontiers sur “vendre mes données” plutôt que sur “payer” », mais on ne peut pas le savoir, car ce genre de choix clair n’a jamais vraiment été proposé
      En plus, le terme « données » est opaque pour l’utilisateur moyen
      Les réglementations comme celles de l’UE et de la Californie devraient justement imposer cela
      Si l’on présentait le choix ainsi : « Voici les données que nous avons sur vous : elles incluent a, b, c, d… issus d’un pistage flippant. Si vous nous autorisez à porter atteinte à votre vie privée de différentes manières, nous vous offrons ce petit gadget. Sinon, payez x euros », combien de personnes choisiraient l’atteinte à la vie privée ?
      Une grande partie d’Internet est, sous une forme ou une autre, de la communication
      Dans le monde réel aussi, beaucoup de communications sont gratuites
      Je me demande plutôt pourquoi tout le monde part du principe qu’Internet est une plateforme destinée à s’enrichir en vendant des babioles à des indigènes ignorants
      Certaines choses seraient peut-être mieux gérées à but non lucratif
    • La solution pourrait être des extensions open source et auditées
      Il semble que Firefox ait déjà quelque chose de ce genre (https://mzl.la/3Acn4DU)
      Je ne connais aucun auditeur pour les extensions Chrome
      Il suffirait qu’une organisation ou un groupe de confiance, comme Google ou Mozilla, audite les extensions et les « certifie » comme dépourvues de logiciel malveillant
      En plus, les extensions devraient être 100 % open source ; ainsi, même si l’organisation de confiance était compromise ou faisait mal son travail, cela finirait par se voir et les gens cesseraient de les utiliser
      Bien sûr, ce n’est pas parfait
      Un adware peut rester caché même aux auditeurs, et un auditeur peut être compromis sans que personne ne le sache
      Plus une extension contient beaucoup de code complexe, plus cela coûte cher et prend du temps ; même des extensions populaires sans problème pourraient donc ne pas être certifiées
      Les modifications devraient elles aussi toujours être auditées, ce qui ralentirait et freinerait les mises à jour
      Un dernier problème facile à négliger est que les auditeurs pourraient être biaisés en faveur de certaines extensions, par exemple celles qui paient
      Si le code est trop difficile à lire ou se trouve au fond de la file d’attente de revue, il peut ne pas être approuvé ; or le seuil de ce qui est « trop difficile à lire » et la position dans la file peuvent facilement être influencés par l’argent
      Malgré tout, les extensions web sont des logiciels plutôt bien adaptés à l’audit par rapport aux autres apps
      Elles sont généralement beaucoup plus petites et plus simples, nécessitent moins d’utilisateurs, et opèrent dans un domaine de très haute confiance : toute la navigation web, y compris les banques et les sites confidentiels
      Comparé à des apps mobiles sandboxées ou à des programmes en mode utilisateur sur ordinateur, les dégâts restent possibles, mais ils sont bien plus limités
    • Internet ne dispose pas d’équivalent à l’argent liquide, totalement anonyme et facile à utiliser
      Dès que vous payez quelque chose, vous transmettez de toute façon des informations d’identité
      L’échange de valeur est clairement déséquilibré dans un sens, mais si, pour obtenir X, vous devez à la fois partager votre identité et payer, vous avez perdu de l’argent et partagé votre identité
      Si vous partagez votre identité et obtenez X gratuitement, au moins vous ne perdez pas d’argent
    • Le choix entre « vendre mes données » et « payer » n’existe presque jamais dans les faits
      Dans la réalité, on se retrouve généralement entre payer et voir quand même ses données vendues, ou utiliser gratuitement et voir ses données vraiment beaucoup vendues
      La plupart des services payants indiquent eux aussi, dans leur politique de confidentialité, leurs conditions générales et leurs contrats utilisateur, comment ils vendent les données
      Dans le meilleur des cas, on peut seulement espérer que, comme ils sont un peu moins désespérés côté trésorerie, ils choisiront un peu mieux à qui les vendre
      Mais l’impact pour l’utilisateur est plus important
      Désormais, ils ont votre carte bancaire, votre adresse, votre vrai nom et votre numéro de téléphone, et tout cela est vulnérable aux piratages et aux fuites
      Comme il est aussi plus difficile de falsifier ces informations que pour un compte gratuit, les données collectées ont plus de valeur, et la tentation est d’autant plus grande
      En plus, les services payants disposent de systèmes d’abonnement hostiles au consommateur, remplis de dark patterns
      Si vous n’êtes pas satisfait et voulez résilier, c’est inutilement pénible, et même les essais gratuits exigent une carte bancaire
      La transparence est également très faible sur l’utilisation réelle de l’argent
      Beaucoup de services tournent à perte, et les paiements des clients ne sont qu’une façade : l’argent réel vient des investisseurs
      Pour certaines entreprises, le modèle payant ressemble surtout à un camouflage, la vraie sortie consistant peut-être à collecter des données pendant des années puis à se faire racheter par un agrégateur de données
      À l’autre extrême, il y a aussi ceux qui piègent les pigeons avec des prix absurdement gonflés
      Pour toutes ces raisons, l’option consistant à payer est contaminée par la méfiance, et ce n’est pas seulement parce que les consommateurs seraient radins et persuadés que tout leur est dû
      La méfiance peut rapidement figer n’importe quel marché
      Cela dit, je ne blâme pas vraiment le secteur
      Comme en Californie en 1848, il est difficile de reprocher à quelqu’un de ramasser l’or qui traîne partout
      Le vrai problème, c’est l’absence d’outils, d’infrastructures et de cadres réglementaires permettant aux utilisateurs de voir et de contrôler la façon dont leurs données sont utilisées
      Si les gens veulent vraiment vendre leurs données plutôt que payer, qu’on les laisse le faire
      Mais aujourd’hui, la plupart des utilisateurs ne savent pas quelles données sont exactement collectées, ni combien elles valent
      Ils ne sont pas en mesure de décider rationnellement s’il vaut mieux acheter une app à 5 dollars que subir une extraction de données valant 20 dollars
    • Une décision prise en étant suffisamment informé ne me posait pas vraiment de gros problème en soi
      Ce qui me dérange, c’est quand les apps cachent la monétisation des données, la rendent obligatoire, ou ne proposent aucun moyen d’utiliser le service sans y consentir
      C’est encore pire pour les services où l’on ne peut même pas choisir de ne pas participer

Par exemple, mon employeur vient d’adopter le service « The Work Number » d’Equifax, donc que je crée un compte ou non, mes données s’y trouvent déjà
Le pire, c’est que si je ne crée pas de compte, cela laisse la possibilité à quelqu’un de tenter d’en créer un à mon insu pour collecter encore plus d’informations
Quels que soient les choix que les gens font avec leurs propres données, je ne ressens pas d’obligation morale à leur imposer mon point de vue
S’ils sont vraiment d’accord et veulent économiser 20 dollars, ou la somme que valent ces données dans l’app, leur retirer cette option au motif que je ne suis pas d’accord avec la manière dont leurs informations privées sont traitées ne serait, pour la même raison, pas très différent d’une contrainte
La différence importante pour moi est de savoir si j’en tire profit, mais s’il existe un choix dans chaque cas, cela n’a en réalité pas beaucoup d’importance dans la façon dont l’utilisateur évalue la situation

  • Quand on gère un site web, on finit par recevoir ce genre d’e-mails en continu
    « Bonjour,
    Je voulais savoir si vous acceptiez des articles invités ou l’insertion de liens dans des articles existants. Si c’est possible, j’aimerais en savoir plus sur vos consignes et les sujets qui vous intéressent.
    Merci pour le temps que vous m’accorderez. J’attends votre réponse.
    Cordialement. »
    C’est clairement du spam de masse. Mon site n’a même pas de blog
    Il y a aussi quelques téléchargements de logiciels Windows sur mon site, et je reçois parfois des e-mails suspects proposant des bundles d’installeurs
    La plupart viennent de services de proxy résidentiels qui veulent vendre l’accès à la connexion Internet des utilisateurs

    • Nous tenons un blog de formation pour un produit SaaS ; il y a de vrais e-mails de lecteurs, mais aussi beaucoup de spam, dont une partie est effrayante tant elle est bien faite
      Ils y mettent tellement de contexte que ça ressemble à une vraie personne, ça finit par faire perdre beaucoup de temps et, honnêtement, c’est assez blessant
      Nous passons beaucoup de temps à partager des ressources, et ces faux liens créent un fort rejet
      Ces derniers temps, nous avons été inondés d’e-mails de type « liste de candidats à un prix », écrits par IA avec beaucoup de contexte
      En gros, il suffirait d’un paiement facile pour être pris en considération pour un prix
      Sauf qu’ils oublient toujours d’ajuster le sujet : nous ne gérons pas un service de sécurité logicielle, nous traitons de web scraping
      L’IA va probablement tuer les échanges par e-mail entre inconnus
      Ça devient vraiment épuisant
    • C’est mon type préféré parmi les e-mails que je reçois sous diverses formes environ une fois par mois
      Le titre à la fin me fait rire
      « Objet : J’ai trouvé une faille de sécurité sur votre site web.
      Bonjour l’équipe,
      Je suis Harris, chercheur en sécurité, et j’ai découvert une faille de sécurité sur votre site web en dehors d’un programme de bug bounty.
      Je peux aussi vous divulguer toutes les vulnérabilités trouvées ainsi que les corrections appropriées afin de rendre votre site plus sûr.
      Les entreprises que j’ai aidées ont toujours été généreuses et m’ont récompensé à hauteur de ce qu’elles estimaient approprié pour les problèmes que j’avais découverts. Si vous appréciez mon aide, je serais heureux de recevoir une prime via PayPal, Bitcoin, Payoneer ou virement bancaire.
      Dans l’attente de votre réponse positive.
      Cordialement,
      Harris A
      Certified Ethical Hacker »
    • Je me demande ce que ces gens ont en tête
      Les opérateurs de TOR connaissent les risques liés au partage de connexion, notamment le risque que des pédocriminels utilisent leur service pour partager du CSAM
      Mais les gens ordinaires ne le savent pas
      Ils n’en ont aucune idée jusqu’au jour où ils se font arrêter
    • J’aimerais laisser une balise de contact fonctionnelle sur mon site, mais on dirait que ça déclenche une avalanche de spams de ce genre, ou de propositions de groupes de développeurs web au hasard voulant « améliorer » mon site simple et dépouillé
    • Grâce à ça, j’ai une tâche de moins à faire
      Je reçois aussi ce genre d’e-mails, mais comme j’exploite un site WordPress, j’étais convaincu qu’ils fingerprintaient les sites web et n’envoyaient leurs messages qu’aux sites WordPress
      J’avais donc dans ma liste de tâches de vérifier s’il était possible de masquer l’empreinte WordPress
      Mais vu ce qui est dit ici, il est clair que ça ne servirait pas à grand-chose
      Avec le recul, j’aurais dû me douter que ces spammeurs arrosent simplement tout le monde en masse
  • Le problème de fond ici, c’est qu’il n’existe aucun moyen de monétiser légalement une extension de navigateur
    Les extensions sont conçues pour être simples, ce qui rend difficile la vente de fonctionnalités premium, et elles n’ont généralement pas non plus d’espace propre où placer de la publicité

    • Avant, il existait une méthode
      https://developer.chrome.com/docs/webstore/money/
      « Au cours des 11 années qui ont suivi le lancement du Chrome Web Store, le Web a beaucoup évolué. À l’époque, nous voulions offrir aux développeurs un moyen de monétiser leurs éléments du Web Store. Mais depuis, l’écosystème s’est développé, et les développeurs disposent désormais de nombreuses options de traitement des paiements. »
    • Les utilisateurs d’une extension pourraient, en théorie, être prêts à payer pour la valeur qu’elle leur apporte
      Les acteurs malveillants qui envoient ces e-mails sont prêts à payer pour la valeur que les données des utilisateurs leur apportent à eux
      Ces deux chiffres n’ont aucun rapport entre eux, et la valeur des données utilisateur est souvent bien supérieure à celle des fonctionnalités de l’extension
      Il n’y a pas moyen de résoudre ce problème par la monétisation
      Car les deux clients potentiels n’achètent pas le même produit
    • Je me demande si certains pensent vraiment que, s’il existait un moyen de monétiser les extensions, les développeurs ne seraient pas approchés par des voleurs de données
    • Si les utilisateurs pouvaient désactiver les mises à jour d’extensions, ou devaient y consentir explicitement, ce type d’attaque deviendrait au moins plus difficile
      La plupart des extensions sont simples et n’ont, en réalité, pas besoin de mises à jour
      Pourtant, leur mécanisme de mise à jour est silencieux, entièrement automatique, et sans rollback
      Même Steam ne me vient pas à l’esprit comme ayant des mises à jour aussi agressives
    • Je ne pense pas forcément que ce soit vrai
      Je gère une API de licences logicielles, et nous avons pas mal de clients qui développent des extensions de navigateur avec une base d’utilisateurs assez solide
      Comme pour les autres canaux de distribution, des opportunités de monétisation existent
  • Cette proposition est intéressante parce qu’elle paraît inoffensive, voire potentiellement utile
    Il est question de surveillance des erreurs DNS, qu’est-ce que je rate ?
    « Vous devez recevoir souvent des propositions commerciales, donc je vais aller droit au but. Ce que je propose est un peu différent et, je l’espère, pourrait vraiment vous intéresser. Je pense que Hover Zoom+ est une excellente alternative à son grand frère Hover Zoom, qui a perdu de son attrait ces derniers mois.
    Nous menons une étude sur les erreurs DNS et nous nous intéressons à une petite quantité de données anonymes que votre extension Chrome pourrait peut-être fournir. Notre étude dure depuis des années et Google n’y a jamais vu de problème.

    • Compatible avec les règles strictes de Google
    • Aucune donnée utilisateur personnelle
    • Pas de publicité, pas de malware
      Les données qui nous intéressent se limitent essentiellement aux erreurs DNS :
    • NXD – domaine inexistant — le domaine saisi par l’utilisateur qui a provoqué une erreur DNS
    • Horodatage – moment où cela s’est produit
    • GEO – lieu où cela s’est produit (USA, UK, RU, etc.)
    • Identifiant utilisateur unique généré aléatoirement (hashable, impossible à relier à l’utilisateur). Merci de ne pas le confondre avec l’adresse IP de l’utilisateur.
      C’est tout. Vous pouvez utiliser notre script, ou collecter vous-même les données et les envoyer vers un serveur FTP, une API, etc. Il y a plusieurs façons de faire. Le paiement se fait mensuellement ; le montant dépend de la GEO des utilisateurs, mais il serait de l’ordre de plusieurs milliers de dollars par an.
      Est-ce que cela vaut la peine d’en discuter brièvement ? J’attends votre réponse.
      Je vous ai contacté récemment au sujet de l’étude sur les erreurs DNS menée par notre société. Hover Zoom+ serait un support idéal pour notre étude. En échange, cela pourrait constituer pour vous une nouvelle source de revenus solide.
      Notre méthode est en place depuis des années et nous n’avons jamais eu de problème avec Google. Nous payons régulièrement, tous les mois. Pour vous, cela représenterait des dizaines de milliers de dollars par an, le montant dépendant de votre base d’utilisateurs et de la qualité des données.
      Si l’inclusion d’un script tiers vous inquiète, il existe toujours de nombreuses façons de parvenir à un accord.
      Dites-moi si cela vaut la peine d’en discuter, même brièvement. »
    • À vue de nez, il s’agit peut-être d’acheter des noms de domaine qui reçoivent des requêtes mais sont encore disponibles à l’enregistrement
      Par exemple des domaines souvent mal saisis
      Ce n’est pas interdit, mais ça reste un peu louche
    • C’est une étude de typosquatting
      Ils regardent les domaines que les utilisateurs saisissent souvent par erreur et qui renvoient une réponse NX, puis les enregistrent pour afficher de la pub, faire du phishing, etc.
    • Il est très probable qu’ils cherchent à identifier les domaines sur lesquels les gens font souvent des fautes de frappe, à les acheter, puis à y faire tourner de la publicité
    • Je parierais qu’ils veulent savoir quels domaines les gens saisissent mal ou auxquels ils s’intéressent, afin de les arnaquer plus efficacement
    • De l’argent circule, mais aucune intention bienveillante n’est clairement énoncée
      Donc, dans le meilleur des cas, il y a un intérêt commercial quelque part ; dans le pire, c’est probablement nuisible aux utilisateurs
      Il n’est pas difficile d’écrire un script qui a l’air de faire une chose en façade tout en transportant discrètement d’autres informations
      Par exemple, écrire une mauvaise fonction de hachage ? Un jeu d’enfant
      Il faut toujours suivre le gradient de l’ATP
  • S’il y a autant de propositions agressives même pour une extension qui compte environ 300 000 utilisateurs, je me demande à quel point elles doivent être pressantes pour les extensions qui atteignent plusieurs millions d’utilisateurs
    Les incitations dans l’écosystème des extensions semblent complètement déréglées

  • La boîte mail officielle de Ruffle est elle aussi remplie de ce genre de propositions
    Les montants proposés pour une extension gratuite et libre sont tellement élevés qu’on ne peut qu’imaginer que les acheteurs veulent y bourrer autant de malware que possible sans se faire bloquer immédiatement par Google ou Mozilla[0]
    Personnellement, je pense qu’il ne devrait pas être permis de transférer la propriété d’une extension sans approbation et vérification préalables de la nouvelle structure de propriété
    Une nouvelle fiche n’a ni avis ni confiance acquise ; transférer une extension existante devrait donc être volontairement plus difficile que créer une nouvelle extension
    Je dis cela en sachant très bien à quel point traverser la bureaucratie peut être pénible, puisque j’en subis moi-même parfois les effets pratiques[1]
    Le marché souterrain de l’achat-revente d’extensions est incroyablement suspect, et la confiance des utilisateurs y est traitée avec beaucoup trop de légèreté
    [0] Malheureusement, notre publication sur AMO est déjà signalée comme contenant du code généré par machine, parce que nous utilisons Rust/WASM. Les soumissions de l’extension ne sont donc approuvées que lorsque Mozilla peut reproduire notre build octet pour octet
    [1] https://ruffle.rs/blog/2023/04/23/mozilla-extension-postmort...

  • Ça me rappelle un plan tordu auquel j’avais pensé au collège

    1. Créer un plugin Minecraft Bukkit réellement utile
    2. Attendre qu’il soit beaucoup installé
    3. Ajouter une porte dérobée bien cachée qui me rendrait « op », c’est-à-dire administrateur, sur le serveur de mon choix
    4. Surprendre les administrateurs malveillants de serveurs publics en les bannissant soudainement
      Je suis allé jusqu’à l’étape 2, puis j’ai décidé de m’arrêter là
    • Les plugins Minecraft Bukkit sont pratiquement une zone de non-droit
      Il est vraiment difficile de distinguer ce qui est intentionnel de ce qui ne l’est pas
      Je me souviens avoir cherché, il y a des années, un plugin motd qui se contentait d’afficher un message quand on se connectait au serveur
      J’avais trouvé un plugin assez simple, mais il envoyait un ping à son serveur d’origine pour vérifier les mises à jour
      Le développeur voulait peut-être ajouter une fonctionnalité utile, mais mon côté cynique pense qu’il cherchait à obtenir les adresses IP des serveurs exécutant ce plugin
      Il y avait aussi une commande de débogage non authentifiée, capable d’afficher le contenu de n’importe quel fichier motd du dossier
      Sauf que les chaînes n’étaient pas correctement échappées, ce qui permettait de sortir du répertoire avec ../... et d’afficher n’importe quel fichier
      Je ne sais pas si l’auteur l’a réellement exploité, ou s’il s’agissait simplement d’un ado naïf de 14 ans qui écrivait son premier plugin
      Je ne sais pas non plus quel fichier il aurait cherché à afficher s’il avait voulu l’exploiter, mais c’était clairement très suspect
    • 2b2t a été backdooré plusieurs fois de cette manière
      Plusieurs personnes ont pu accéder à WorldEdit, au mode créatif, aux commandes d’administration, etc.
      Au-delà des anciens serveurs anarchy, la communauté actuelle des mods Minecraft subit plusieurs attaques de chaîne d’approvisionnement, des vulnérabilités de désérialisation, etc.
    • Les portes dérobées ciblant des serveurs Minecraft existent bel et bien de temps en temps