Une dizaine d'extensions vérolées pour un total de près d'un million d'installations : c'est une année qui commence bien !
Ah ! Les fêtes de fin d’année, moment de détente pour beaucoup… mais aussi période propice aux cyberattaques. Alors que la majorité des internautes célébraient la fin de 2024, des hackers ont profité de cette accalmie pour orchestrer une série d’attaques coordonnées, détournant plusieurs extensions Chrome populaires et exposant les données sensibles de centaines de milliers d’utilisateurs. À l’origine de tout ce barouf, une banale campagne de phishing ciblée ayant permis aux assaillants d’accéder à un compte administrateur et de publier des versions infectées de ces plugins sur le Chrome Web Store.
Une tentative de phishing parfaitement exécutée
Il est des cadeaux surprises dont on se serait bien passé au pied du sapin, et Cyberhaven pourra en témoigner. Vendredi dernier, l’entreprise spécialisée dans la prévention contre le vol de données a confirmé avoir été victime d’une cyberattaque lancée le 24 décembre au soir, ayant conduit à la publication d’une version vérolée de son extension sur le Chrome Web Store le 25 au matin. Il aura fallu près d’une journée supplémentaire à ses équipes de sécurité pour détecter l’offensive, et 60 minutes de plus pour remplacer le plugin malicieux (v24.10.4) par une version saine (v24.10.5). Le 26 à l’aube, tout était rentré dans l’ordre, ou presque.
Si Cyberhaven a pris son temps avant de communiquer officiellement sur les tenants et les aboutissants de cette attaque, on sait aujourd’hui ce qui s’est passé. De manière tout à fait classique, un employé serait tombé dans le panneau d’une attaque de phishing particulièrement bien ficelée. Les hackers auraient alors réussi à dérober ses identifiants de connexion au Chrome Web Store pour y publier une version malveillante du plugin officiel. D’après l’entreprise, seuls les navigateurs Chromium configurés pour mettre à jour automatiquement les extensions seraient à risques.
Il n’empêche que les conséquences n’en sont pas moins importantes pour la sécurité des données. Selon John Tuckner, chercheur chez Secure Annex, l’extension corrompue, qui cumule plus de 400 000 installations, contenait du code capable d’exfiltrer des sessions authentifiées et des cookies vers un serveur distant. Or, parmi les clients de Cyberhaven susceptibles d’utiliser son plugin, on retrouve de grands noms tels que Snowflake, Motorola, Canon ou encore Reddit.
Cyberhaven : l’arbre qui cachait la forêt
À la suite de cette découverte, Jaime Blasco, autre chercheur, chez Nudge Security cette fois, a pris l’initiative de poursuivre l’enquête à partir des adresses IP et des domaines enregistrés sur le serveur pirate. Il en est ressorti que l’attaque chez Cyberhaven n’était pas un cas isolé, mais un élément d’une série de piratages coordonnés. Blasco a en effet pu identifier que le même code malveillant avait aussi été injecté dans quatre autres extensions populaires, à savoir Internxt VPN (10 000 installations, patché le 29 décembre), VPNCity (50 000, retiré du store), Uvoice (40 000, patché le 31 décembre) et ParrotTalks (40 000, retiré du store).
Cerise sur le gâteau, Blasco a également découvert d’autres domaines pointant vers de potentielles victimes, tandis que Tuckner a confirmé avoir mis le doigt sur plusieurs autres extensions contenant ce même code malveillant, toujours actif au 31 décembre, parmi lesquelles Bookmark Favicon Changer, Castorus, Search Copilot AI Assistant for Chrome, VidHelper ou encore YesCaptcha assistant. Au total, l’ensemble supplémentaire de ces modules compromis cumule à ce jour plus de 540 000 installations.
Comment se protéger face à ce type de piratage ?
Si vous utilisez une ou plusieurs de ces extensions compromises, commencez par vérifier qu’elles ont été mises à jour après le 31 décembre. Dans le cas contraire, désinstallez-les immédiatement. Réinitialisez aussi vos paramètres de navigateur, supprimez les cookies, modifiez tous vos mots de passe, configurez l’A2F et optez pour les passkeys lorsque possible. Pour vous aider, pensez à utiliser un gestionnaire de mots de passe sécurisé.
De manière générale, limitez autant que faire se peut le nombre d’extensions installées sur votre navigateur, et privilégiez celles provenant de développeurs fiables et réactifs. Contrôlez régulièrement les permissions accordées à chacune d’entre elles : un vérificateur de captchas n’a pas besoin d’accéder à votre micro, votre caméra ou votre position GPS, par exemple. Enfin, surveillez les alertes de sécurité et pensez à installer un antivirus réputé pour agir rapidement en cas de nouveau problème.
Sources : Cyberhaven, Secure Annex, Jaime Blasco via X.com
30 décembre 2024 à 09h35
