Une faille inquiétante dans la sécurité des navigateurs
Un nouveau type d’attaque informatique a ciblé une vingtaine d’extensions populaires pour le navigateur Chrome, exposant plus de 600 000 utilisateurs à des risques de vol de données et d’identifiants. Ces attaques, combinant phishing et codes malveillants, soulignent une vulnérabilité critique dans la gestion des extensions.
Des techniques de phishing ciblant les éditeurs
La campagne d’attaques a démarré par une série de phishing ciblant les éditeurs d’extensions sur le Chrome Web Store. En se faisant passer pour le support technique de Google, les attaquants ont incité les développeurs à cliquer sur des liens frauduleux, accédant ainsi à leurs comptes administrateurs et modifiant leurs extensions pour y insérer des scripts malveillants.
Cyberhaven : une cible de choix
Le 24 décembre 2024, un pirate a accédé au compte administrateur Chrome Web Store d’un employé de Cyberhaven, une entreprise spécialisée dans la prévention contre les pertes de données, qui compte parmi ses clients des entreprises majeures telles que Snowflake, Motorola, Reddit et Canon.
Le pirate a publié une version infectée (24.10.4) de l’extension Cyberhaven contenant un code permettant de voler les cookies de session des utilisateurs et d’envoyer les informations collectées vers un domaine malveillant (« cyberhavenext[.]pro »). Cette version a été retirée moins d’une heure après sa détection. Cyberhaven a depuis publié une version sécurisée (24.10.5) et recommande aux utilisateurs de changer leurs mots de passe et de réinitialiser leurs jetons API.
Une attaque étendue à de nombreuses extensions
Selon les chercheurs en cybersécurité, cette attaque ne se limite pas à Cyberhaven. Des extensions telles que Internxt VPN, VPNCity, Uvoice, et ParrotTalks ont également été compromises. Les pirates ont injecté un code similaire à celui utilisé pour Cyberhaven, communiquant avec des serveurs malveillants.
D’autres extensions comme Bookmark Favicon Changer, Castorus, Wayin AI, Search Copilot AI Assistant, VidHelper, Vidnoz Flex, TinaMind, et AI Shop Buddy figurent parmi les victimes. Certaines extensions ont déjà été supprimées du Chrome Web Store, notamment Effets visuels pour Google Meet, Rewards Search Automator, Tackker, Bard AI chat, et Reader Mode.
Un stratagème bien organisé
L’email de phishing était conçu pour imiter une communication officielle de Google, alertant les développeurs d’un risque imminent de suppression de leur extension. En accédant à une page frauduleuse et en accordant des permissions, les éditeurs ont permis aux pirates de modifier leurs extensions.
Les conséquences pour les utilisateurs
Les pirates ont utilisé les extensions infectées pour voler des informations sensibles, comme les cookies de session et les jetons d’authentification. Ces données permettent aux attaquants d’accéder à des comptes personnels et professionnels, y compris sur des plateformes comme Facebook Ads, augmentant ainsi les risques de fraudes financières.
Comment se protéger ?
Voici quelques recommandations pour éviter d’être victime de ces attaques :
- Vérifiez régulièrement vos extensions installées et supprimez celles que vous n’utilisez pas.
- Limitez les permissions accordées aux extensions, en particulier celles demandant un accès à vos données sensibles.
- Mettez à jour vos extensions pour bénéficier des correctifs de sécurité.
- Changez vos mots de passe et réinitialisez vos jetons API si vous êtes concerné.
- Soyez vigilant face aux emails suspects, surtout ceux prétendant provenir de services officiels.
En conclusion
Cette attaque met en évidence les failles critiques dans la sécurité des extensions de navigateur, souvent perçues comme anodines. Les utilisateurs et les entreprises doivent renforcer leur vigilance et adopter des pratiques de cybersécurité plus strictes pour limiter leur exposition à ces menaces.
