Discussion :

[Jonathan]

500 extensions Chrome ont secrètement téléchargé des données de navigation de millions d'utilisateurs depuis janvier 2019
et les ont transférées sur des serveurs privés contrôlés par des pirates

Nous nous servons tous ou presque d’extensions quel que soit le navigateur qu’on utilise, mais quelle serait votre réaction si on vous apprenait que certaines de celles dont vous vous servez, téléchargent secrètement vos données privées ? Eh bien, c’est ce que viennent d’apprendre les utilisateurs de Chrome. Il a récemment été découvert qu’environ 500 extensions du navigateur Chrome de Google ont téléchargé secrètement les données de navigation de millions d’utilisateurs et les ont transférées sur des serveurs privés contrôlés par des pirates informatiques.

Cette découverte a pu être faite grâce à une chercheuse indépendante en sécurité nommée Jamila Kaya. Cette dernière a contacté la société de sécurité Duo Security pour attirer leur attention sur une variété d'extensions Chrome qu'elle a identifiées comme fonctionnant d'une manière suspecte. Après enquête approfondie, il a été découvert que ces extensions infectaient les navigateurs des utilisateurs et exfiltraient leurs données dans le cadre d'une campagne plus large. C’est donc ainsi qu’en travaillant avec des chercheurs de Duo Security, ils ont finalement identifié 70 extensions Chrome malveillantes qui comptaient plus de 1,7 million d'installations.

Après que les chercheurs eurent rapporté en privé leurs résultats à Google, la société a identifié à son tour plus de 430 extensions supplémentaires du même type et les a toutes supprimées. Il s’en est suivi une déclaration d’un porte-parole de Google : « Nous apprécions le travail de la communauté des chercheurs. Lorsque nous sommes alertés des extensions dans le Web Store qui violent nos politiques, nous prenons des mesures et utilisons ces incidents comme matériel de formation pour améliorer nos analyses automatisées et manuelles. Nous effectuons des balayages réguliers pour trouver des extensions à l'aide de techniques, de code et de comportements similaires, et supprimons ces extensions si elles enfreignent nos politiques ».

Ces extensions faisaient partie d'un programme de malvertising et de fraude publicitaire de longue date. Elles se présentaient aux utilisateurs comme offrant de la publicité en tant que service, mais en réalité, elles se sont livrées à des fraudes publicitaires et à des activités malveillantes. Une fois installées dans le navigateur de l’utilisateur, ces extensions redirigeaient les navigateurs vers l'un des quelques serveurs de contrôle codés en dur. Ceci était fait dans le but de recevoir des instructions supplémentaires, comme des emplacements pour télécharger des données, des listes de flux publicitaires et des domaines auxquels se connecter pour les futures redirections.

Ce qui s’en est suivi n’est plus surprenant quand on sait déjà tout ça. Les navigateurs infectés ont téléchargé les données des utilisateurs, mis à jour les configurations des plugins et parcouru un flux de redirections de sites. Tout ceci sans que l’utilisateur n’en soit averti. Il est peut-être important de préciser qu’en dépit du fait que chacune des 500 extensions semblait différente, toutes contenaient du code source presque identique, à l'exception des noms de fonction, qui étaient uniques. Les chercheurs ont trouvé des preuves que ces extensions fonctionnent ainsi depuis au moins janvier 2019. Mais il n’est pas exclu de penser que toutes ces extensions aient été actives pendant une période beaucoup plus longue, peut-être dès 2017.

C'est le logiciel CRXcavator, un outil automatisé d'évaluation de la sécurité des extensions Chrome, développé par Duo Security, qui a permis à Jamila Kaya de faire cette découverte. Les ordinateurs qui possédaient l'une de ces extensions ont reçu une notification contextuelle indiquant qu'elle avait été automatiquement désactivée. En plus de cela, il est recommandé aux utilisateurs de prendre le temps de lire les avis d’autres utilisateurs concernant les extensions qu’ils souhaitent installer, ceci afin de vérifier les rapports de comportement suspect. Il leur a aussi été recommandé de vérifier régulièrement les extensions qu'ils ne reconnaissent pas ou n'utilisent plus et de les supprimer. Il ne reste plus qu’à espérer que les recommandations soient suivies et que Google fasse plus d’efforts pour assainir son Web Store.

Source : Rapport Duo Security

Et vous ?

Qu’en pensez-vous ?
Avez-vous l’habitude de vérifier les comportements des extensions installées sur votre navigateur ?

Voir aussi :

Google propose une mise à jour de Chrome pour atténuer la possibilité d'exploiter, la vulnérabilité cryptographique critique découverte par la NSA dans Windows
L'extension Chrome Shitcoin Wallet, qui propose aux utilisateurs de gérer leur portefeuille Ethereum, surprise en train d'injecter du code JavaScript pour voler les mots de passe et clés privées
La version 80 de Google Chrome bloquera automatiquement les demandes de notifications ennuyeuses, fini les popups indésirables

[Demky]

Qu’en pensez-vous ?

j'en pense que faire un article sur le sujet et ne pas citer les 500 applications en question... c'est totalement inutile.