Les extensions de votre navigateur web : un backdoor pour les hackeurs

Les extensions de votre navigateur web : un backdoor pour les hackeurs

Que vous utilisiez Chrome, Firefox, Safari, IE ou Edge, vous avez la possibilité d’installer des extensions afin de personnaliser votre navigateur et augmenter ses capacités. Ces extensions permettent, par exemple, de sauvegarder vos mots de passe de façon sécurisés, télécharger des films YouTube sur votre ordinateur, supprimer les pubs sur des pages web ou encore afficher la définition des mots qui vous sont inconnus lors de votre navigation. Toutefois, les extensions comportent de grands risques qui ne sont souvent pas pris en considération lorsqu’on les installe.

Les extensions de navigateur sont beaucoup plus dangereuses de ce que l’on peut initialement penser. Ces petits outils ont potentiellement accès à tout ce que nous faisons en ligne, peuvent lire tout ce que nous soumettons et modifier tout ce que nous voyons. Bien que la vaste majorité d’entre elles ne soient pas malveillantes, elles ont la capacité de l’être et peuvent nous traquer, afficher des informations fictives, voler nos mots de passe ou encore agir en notre nom.

Les extensions de navigateur, tout comme les applications installées sur les iPhones et Androids, sont achetées sur un App Store, mais c’est leur seule ressemblance.

Dans un smartphone, les applications sont isolées du reste du système afin d’éviter des interactions malveillantes ; dans un navigateur, le but d’une extension est justement de pouvoir communiquer avec les sites web visités, et les interactions sont donc nécessaires.

Aussi, lorsque vous installez une application sur un smartphone, celui-ci déclare les privilèges et permissions requises avec beaucoup de détails et précision, et, une fois l’application installée, le smartphone redemandera à l’utilisateur de valider ces autorisations (comme accéder aux contacts, appareil photo, etc.) ; l‘acceptation de ces autorisations n’existe pas vraiment pour les extensions des navigateurs (techniquement, il y a des privilèges dans Chrome, mais il est compliqué de comprendre effectivement quel va être le risque). Finalement, une fois l’application installée, c’est très difficile de pouvoir déterminer et limiter son activité.

Il faut être conscients que notre navigateur web est un outil essentiel de notre vie digitale. C’est par le navigateur que nous effectuons toutes nos recherches (souvent personnelles), payons notre e-banking, achetons en ligne, envoyons des emails et communiquons avec nos amis ou collègues. Une personne malintentionnée parvenant à s’injecter dans ces interactions pourrait causer des effets dramatiques.
Par exemple, il y a tout juste un an, une campagne de malvertising (publicité malveillante sur internet) exhortait des utilisateurs à installer une extension de leur navigateur. Plus de 400'000 personnes ont ainsi infecté leur navigateur Chrome avec Droidclub. Cette extension ensuite utilisait toutes les ressources des ordinateurs des victimes afin de miner des cryptomonnaies et envoyer l’argent récolté au hackeur.

Il ne faut pas forcément que l’extension soit malveillante pour que son installation nous mette en danger. En septembre 2018, l’extension Chrome pour la plateforme de partage MEGA a été piratée: des hackeurs ont pénétré le serveur de développement de MEGA et ont changé le code de l’extension. À cause de la mise à jour automatique inhérente au fonctionnement de Chrome, la nouvelle version malveillante a été installée instantanément auprès de 1.7 million d’utilisateurs. Les noms d’utilisateurs et mots de passe dérobés dans le navigateur ont ensuite été envoyés sur un serveur appartenant à un hackeur en Ukraine. L‘attaque a été découverte, mais seulement après que des centaines de milliers de comptes aient été volés.

Un certain nombre d’extensions (même très populaires) sont développées par des personnes pendant leur temps libre. Que ce soit à cause de manque de disponibilité, de perte d’intérêt ou pour des questions financières, ces développeurs peuvent décider de vendre le code source et les droits de l’extension. Certains acquéreurs malveillants pourraient avoir un intérêt autre que le développement du produit, visant à infecter les millions de personnes qui lui font confiance et l’utilisent. Particle, une extension pour customiser YouTube, a été rachetée en juillet 2017, puis immédiatement mise à jour avec un injecteur de pub malveillant. Les utilisateurs infectés par la nouvelle version voyaient apparaître sur leur écran des publicités intempestives (pop-ups) affichant du contenu peu recommandable (publicité pour viagra, pornographie, médicament, etc.) qui ensuite rémunérait les hackeurs.

Webex est une extension très utilisée en entreprise, permettant d’effectuer des conférences, appels et présentations en ligne depuis le navigateur. La grande majorité des 12 millions d’utilisateurs de cette extension l’installent sur leur ordinateur professionnel et travaillent dans une multinationale, dans la finance ou dans le high-tech. Pendant été 2017, une vulnérabilité a été découverte dans l’extension, permettant à un hackeur non seulement de prendre le contrôle du navigateur, mais de tout l’ordinateur de la victime. Afin d’exploiter cette vulnérabilité, il suffisait de faire naviguer la victime sur une page malveillante ou de la faire cliquer sur un lien. Ensuite, le hackeur pouvait voler des documents, installer un ransomware, désactiver l’antivirus, etc.

Comment se protéger ?

Installer des extensions augmente les capacités du navigateur, mais aussi la potentielle surface d’attaque. En règle générale, nous recommandons de limiter le nombre d’extensions installées sur le navigateur. Si toutefois de nombreuses extensions vous sont nécessaires, il est recommandé de les désactiver lorsque vous ne les utilisez pas.


Voici comment retrouver les extensions que vous avez installées, afin de les valider désactivés ou les enlever :

  • Pour Chrome, tapez cette adresse dans la barre de navigation chrome://extensions/
  • Pour Firefox, tapez cette adresse dans la barre de navigation about:addons
  • Pour Edge, cliquez sur les […] en haut à droite puis « Extensions »
  • Pour Safari, allez dans « Préférences » puis « Extensions »


Aussi, lorsque vous installez une extension, vérifiez non seulement le nombre de téléchargements et ses commentaires, mais vérifiez aussi la compagnie qui l’a développée. De la même façon dont vous vérifiez la réputation d’une entreprise d’alarme avant de l’engager, vous devez vérifier celle d’un développeur avant d’installer son extension.

Alternativement, si une extension à réputation faible vous est vraiment essentielle, vous pouvez installer deux navigateurs sur votre ordinateur : un navigateur pour les choses sensibles comme l’e-banking, l’email, l’e-commerce (Facebook et LinkedIn pour certains), et un autre sur lequel vous installerez toutes vos extensions et avec lequel vous visiterez les sites publics sans authentification.

SI vous êtes un administrateur système, CTO ou CISO, veillez à ce que vous ayez des règles strictes sur les extensions que vos utilisateurs peuvent installer sur leur poste de travail.

Avec l’HTML5 et tous les services cloud, notre navigateur est de plus en plus utilisé de façon automatique dans notre vie quotidienne. Il faut être conscients que chaque extension que vous installez sur notre navigateur est capable de lire et d’interagir avec toute votre navigation. Si vous n’êtes pas prêt à accepter cette inférence, abstenez-vous d’installer cette extension.

UPDATE 25.02.2019:

Vous voulez vérifier la sécurité d'une extension Chrome? il y a un site pour ca: https://crxcavator.io/

 

Tweets de ZENData

RT @InfoSecHotSpot: A new version of a powerful form of trojan malware is being offered on the dark web for free, with one cybersecurity co…
6hreplyretweetfavorite
RT @LaurentBalmelli: A new story on @Medium for Saturday's #breakfast. How to deal with #childhood and #passwords The Start of Digital I…
RT @campuscodi: AT&T employees took bribes to plant malware on the company's network as part of a massive phone unlocking scheme -bribes w…
RT @riskybusiness: White supremacist terrorists are able to reliably organise and disseminate this shit widely thanks to @Cloudflare and it…

Nous animons aussi le blog de cyber-sécurité du magazine Bilan. Retrouvez nos articles sur leur site: https://www.bilan.ch/auteurs/steven-meyer

Contact

ZENData - Cyber-sécurité

Informations

Contactez-nous pour une analyse gratuite de vos besoins en sécurité ou pour des renseignements sur nos services, solutions et produits.

ZENData Sarl

Téléphone: +4122 588 65 90

Email:

Adresse: 114 rue du Rhône, 1204 Genève, Suisse


LinkedIn: linkedin.com/company/zendata

Twitter: twitter.com/ZenDataSec

Facebook: facebook.com/zendataSec

Google+: plus.google.com/+ZendataCh

Contactez-nous

15+9=

Les cookies nous permettent de gérer les services proposés par notre site. En utilisant notre site, vous en acceptez, de fait, l'utilisation.
En savoir plus Ok Refuse

Souhaitez-vous vous inscrire à notre newsletter mensuelle ?

Vous y trouverez nos articles, l’actualité, des conseils et des informations importantes liées à la cyber-sécurité.