Aujourd'hui, on va parler d'un sujet super important pour tous ceux qui utilisent Google Chrome : le piratage d'extensions. Accrochez-vous, car c'est une info qui pourrait bien vous concerner !
Figurez-vous que pas moins de 30 extensions Chrome populaires ont été piratées, ce qui expose des millions d'utilisateurs à un risque de vol de données.
Oui, vous avez bien entendu, des millions ! Alors, restez bien attentifs à ce qui suit pour savoir comment vous protéger.
Mais comment ces extensions ont-elles été piratées, au juste ?
Eh bien, tout a commencé par le piratage d'une extension d'une entreprise de sécurité, Cyberhaven. Imaginez un peu, même les pros de la sécurité se font piéger ! Un de leurs employés a été victime d'une attaque de phishing (ces fameux e-mails piégés), ce qui a permis aux pirates de diffuser une version corrompue de l'extension.
Et ce n'est pas tout ! Une enquête plus approfondie menée par Secure Annex a révélé que 29 autres extensions avaient été piratées de la même manière, en utilisant les mêmes serveurs que ceux utilisés pour l'attaque de Cyberhaven. On dirait bien qu'il s'agit d'une vaste campagne organisée contre les extensions de navigateur. La liste pourrait donc malheureusement s'allonger…
Une chaîne d'attaque OAuth trompeuse
L'attaque se déroule via une campagne de phishing ciblée, visant les développeurs d'extensions Chrome, soit directement, soit via les adresses e-mail de support associées à leurs domaines.
Pour piéger leurs victimes, les pirates utilisent plusieurs adresses e-mail frauduleuses, avec des noms de domaine comme :
- supportchromestore.com
- forextensions.com
- chromeforextension.com
Ces e-mails, qui imitent à la perfection les communications officielles de Google, font croire que l'extension du développeur ne respecte pas les règles du Chrome Web Store et menace de la supprimer.
En gros, ils accusent les développeurs d'utiliser des informations trompeuses, mal formatées ou inappropriées dans la description de leur extension (nom, titre, icône, etc.).
Le but du jeu ? Inciter le développeur à cliquer sur un bouton « Accéder à la politique » pour « comprendre » les infractions.
Ce lien, mine de rien, redirige vers une page de connexion Google tout à fait légitime en apparence, mais qui cache en réalité une application OAuth malveillante.
Le piège de l'application OAuth malveillante
Cette page fait partie du processus d'autorisation standard de Google, celui qui permet d'accorder des permissions à des applications tierces. L'application malveillante, qui se nomme « Privacy Policy Extension » (Extension Politique de confidentialité), demande l'autorisation de gérer les extensions du Chrome Web Store via le compte du développeur.
Plus précisément, elle demande l'accès pour « voir, modifier, mettre à jour ou publier vos extensions, thèmes, applications et licences Chrome Web Store auxquels vous avez accès ». Autant dire un accès total !
Le pire, c'est que même l'authentification multifacteur (MFA), censée renforcer la sécurité, ne sert à rien dans ce cas-là. En effet, les approbations directes ne sont pas nécessaires dans les flux d'autorisation OAuth. Le système part du principe que l'utilisateur comprend parfaitement les permissions qu'il accorde.
Un employé de Cyberhaven, pourtant protégé par les mesures de sécurité avancées de Google et l'authentification MFA activée, n'a même pas reçu d'invite MFA et ses identifiants Google n'ont pas été directement compromis. Il a simplement autorisé l'application malveillante, sans se douter de rien.
La diffusion de l'extension corrompue
Une fois l'accès obtenu, les pirates modifient l'extension et y ajoutent deux fichiers malveillants : « worker.js » et « content.js ». Ces fichiers contiennent du code qui permet de voler des données des comptes Facebook des utilisateurs de l'extension.
L'extension piratée est ensuite publiée comme une « nouvelle » version sur le Chrome Web Store, ni vu ni connu.
Ciblage des comptes professionnels Facebook
L'analyse des machines compromises révèle que les pirates cherchaient avant tout à accéder aux comptes Facebook des utilisateurs des extensions infectées. Le code malveillant était conçu pour récupérer l'identifiant Facebook, le jeton d'accès, les informations de compte, les informations de compte publicitaire et, surtout, les comptes professionnels.
De plus, un système de surveillance des clics de souris était mis en place sur Facebook.com, à l'affût des images de code QR liées à l'authentification à deux facteurs ou aux CAPTCHA, afin de contourner ces protections.
Les informations volées, combinées aux cookies Facebook, à la chaîne de l'agent utilisateur, à l'identifiant Facebook et aux événements de clics de souris, étaient ensuite envoyées vers le serveur de commande et de contrôle (C2) des attaquants, leur permettant de contrôler les opérations.
Les pirates ciblent les comptes professionnels Facebook pour plusieurs raisons : effectuer des paiements directs avec l'argent de la victime, lancer des campagnes de désinformation ou de phishing, ou encore revendre les accès à d'autres personnes mal intentionnées.
Alors, quelles sont ces extensions concernées ?
Pas de panique ! L'équipe de Secure Annex a mis en place une feuille Google (un peu comme un tableau Excel en ligne) pour répertorier les extensions touchées. C'est super pratique !
Vous y trouverez le nom complet de chaque application, le numéro de version concerné et même si l'extension est toujours disponible. Ils ont également calculé le nombre total d'utilisateurs touchés : plus de 2,5 millions au moment où j'écris ces lignes !
Parmi les extensions les plus populaires concernées, on retrouve :
- Visual Effects for Google Meet
- Extension de sécurité Cyberhaven V3
- Reader Mode
- Assistant YesCaptcha
- Bard AI chat
- Search Copilot AI Assistant for Chrome
- Reaward Search Automator
- Email Hunter
- GPT 4 Summary with OpenAI
- VidHelper - Video Downloader
- Primus
- Proxy SwitchyOmega (V3)
- ChatGPT Assistant - Smart Search
Je vous encourage vivement à consulter la liste complète sur le site de Secure Annex (je vous mets le lien juste ici).
Et gardez un œil dessus, car d'autres extensions pourraient être ajoutées.
Et maintenant, le plus important : comment se protéger ? ️
Voici quelques conseils précieux pour sécuriser vos données :
- Supprimez immédiatement les extensions infectées. C'est la première chose à faire ! Cela stoppera toute perte de données supplémentaire. Si vous ne supprimez pas la version infectée, le vol de données pourrait continuer sans que vous le sachiez.
- Surveillez attentivement vos comptes en ligne. Soyez vigilant face aux demandes de changement de mot de passe inattendues, aux modifications de votre compte de messagerie, etc. Le moindre truc bizarre doit vous mettre la puce à l'oreille.
- Changez vos mots de passe. Par mesure de précaution, changez les mots de passe de vos comptes les plus importants, surtout Facebook.
- Activez l'authentification à deux facteurs (2FA). Cette mesure de sécurité supplémentaire ajoute une couche de protection en demandant un code unique en plus de votre mot de passe.
Voilà, j'espère que ces informations vous seront utiles. N'hésitez pas à partager cet article avec vos amis et votre famille pour les informer de cette situation. La sécurité en ligne est l'affaire de tous !
Avez-vous trouvé ce guide utile ?
Nous aimerions connaître votre avis pour améliorer nos tutoriels. Avez-vous trouvé ce guide utile ?