Le navigateur de Google, qui compte 2 milliards d’utilisateurs, présente encore des failles exploitables par les malfaiteurs. En effet, la société de cybersécurité Awake Security avait alerté Google sur l’existence de 111 extensions Chrome malveillantes, qui ont été téléchargées 32,9 millions de fois. Google a récemment indiqué que 106 de ces extensions ne sont plus disponibles dans le Chrome Web Store et que celles qui étaient en cours d’utilisation ont été désactivées. Cette découverte intervient quelques mois après que la société Duo Security ait signalé que 500 extensions ont secrètement téléchargé des données de navigation de millions d’utilisateurs depuis janvier 2019.Des extensions probablement développées par un seul acteur
D’après Awake Security, ces extensions ont été probablement développées par un seul acteur. Leur point commun est que toutes leurs activités sont liées à GalComm, un bureau d’enregistrement de domaine Internet. Cependant, Awake Security précise que GalComm n’est pas derrière cette vaste campagne, mais il aurait quand même dû savoir ce qui se passait. « Sur les 26 079 domaines accessibles enregistrés par GalComm, 15 160 domaines, soit près de 60 %, sont malveillants ou suspects. Nous avons également trouvé et présentons des preuves que ces domaines sont utilisés pour héberger des logiciels malveillants traditionnels et des outils de surveillance pour navigateur », explique la société de cybersécurité.
De son côté, le propriétaire du registraire israélien, Moshe Fogel, a déclaré : « GalComm n’est pas impliqué, et n’est pas en complicité avec quelconque activité malveillante ». Toutefois, il a précisé que la majorité de ces noms de domaine étaient inactifs et qu’il continuerait d’enquêter sur le reste.
De plus, la majorité de ces extensions partagent les mêmes graphiques et la même base de code. Elles proposent par exemple des services comme la prévention contre des sites web dangereux ou la conversion de fichiers.
Responsables de vol de données sensibles et privées
« Ces extensions peuvent prendre des captures d'écran, lire le presse-papiers, récolter des jetons d'identification stockés dans des cookies ou paramètres, saisir les frappes de l'utilisateur (comme les mots de passe), etc. », précise Awake Security.
Pour leur part, les extensions de prévention de sites malveillants sont inefficaces, notent les chercheurs d’Awake Security. Après avoir mené des tests sur l’une d’entre elles, ByteFence, ils ont constaté que celle-ci a classé plusieurs sites malveillants comme étant « sécurisés ».
ByteFence est la version remaniée d’une autre extension nommée Reason Core Security. « Nous avons découvert qu’elle était associée à des logiciels malveillants dans la nature au cours de cette enquête », indiquent les chercheurs.
Pire encore, « il arrive fréquemment qu'une version personnalisée d'un paquet autonome Chromium soit installée avec des extensions malveillantes déjà incluses. Cette technique permet à l'attaquant de contourner complètement le magasin de Chrome et d'y échapper à tout contrôle de sécurité. (…) Comme la plupart des utilisateurs ne reconnaissent pas la différence entre Chrome et Chromium, lorsqu'on leur demande de faire du nouveau navigateur leur navigateur par défaut, ils le font souvent - faisant de leur navigateur principal un navigateur qui continuera volontiers à charger des extensions malveillantes provenant d'autres sources liées à GalComm », souligne Awake Security.
« Ces navigateurs malveillants semblent avoir été installés par des programmes potentiellement indésirables (PUP) déjà présents sur le système de la victime. Cette méthode est très efficace, car les navigateurs malveillants sont autonomes, ce qui signifie qu'outre la possibilité d'exécuter un programme localement, très peu d'autres autorisations sont nécessaires », abonde la société.
Cinq d'entre elles n’ont pas encore été supprimées
Jusqu’à présent, 106 des 111 extensions malveillantes ont été supprimées par Google. « Lorsque nous sommes avertis d'extensions dans le Web Store qui violent nos politiques, nous prenons des mesures et utilisons ces incidents comme matériel de formation pour améliorer nos analyses automatisées et manuelles », explique Scott Westover, porte-parole de Google. « Nous effectuons des balayages réguliers pour trouver des extensions utilisant des techniques, du code et des comportements similaires », ajoute-t-il.
Mais la plupart des utilisateurs ont du mal à identifier les extensions malveillantes parce qu'elles ont tendance à avoir un nombre relativement important d’utilisateurs, alors qu’elles ont été développées par des marques inconnues. Elles sont également peu critiquées. Au contraire, elles obtiennent de bonnes notes et comptent de nombreux faux avis d’internautes. En outre, le nombre de téléchargements a probablement été gonflé pour inciter les utilisateurs à les installer, selon Awake Security.
Par ailleurs, « les équipes de sécurité des entreprises feraient bien de reconnaître que les extensions de navigateur malveillantes représentent un risque important, d'autant plus que notre vie numérique se déroule désormais en grande partie dans le navigateur. De plus, cette menace contourne un certain nombre de mécanismes de sécurité traditionnels, notamment les solutions de sécurité des points d'accès, les moteurs de réputation de domaine, les serveurs mandataires web et les sandboxes basés sur le cloud. Les équipes de sécurité doivent donc rechercher en permanence les tactiques, techniques et procédures permettant de compenser les lacunes technologiques », conseille la société.
Google n’est pas le seul à faire face à des extensions malveillantes. En janvier dernier, Mozilla a par exemple supprimé près de 200 extensions malveillantes Firefox, et ce n’est pas une première. Cette situation illustre la difficulté que rencontrent les créateurs de navigateurs à assurer la sécurité des utilisateurs, car les extensions malveillantes ont été signalées après que celles-ci soient publiées.
Sources : Awake Security, Reuters
Et vous ?
Les mesures prises par Google sont-elles bonnes selon vous ? D’après vous, que devraient faire les sociétés comme Google ou Mozilla pour éviter des attaques de ce genre ?Voir aussi :
500 extensions Chrome ont secrètement téléchargé des données de navigation de millions d'utilisateurs depuis janvier 2019, et les ont transférées sur des serveurs privés contrôlés par des pirates L'extension Chrome Shitcoin Wallet, qui propose aux utilisateurs de gérer leur portefeuille Ethereum, surprise en train d'injecter du code JavaScript pour voler les mots de passe et clés privées Chrome : Google supprime 89 extensions qui ont permis d'enregistrer ce que vous faites, et ont affecté près d'un demi-million d'utilisateurs Mozilla a supprimé près de 200 extensions malveillantes Firefox au cours des deux dernières semainesPlusieurs d'entre elles exécutaient du code distant et d'autres collectaient les données
Google supprime quatre extensions Chrome qui ont été téléchargées plus de 500 000 fois, impliquées dans une campagne de fraude aux clics