Un scandale secoue l’univers du navigateur Chrome : plus de 30 extensions populaires ont été compromises par une vaste campagne de cyberattaques. Des millions d’utilisateurs voient leurs données personnelles, notamment les cookies et tokens d’authentification, exposées au vol.
Une attaque ciblée sur les extensions Chrome
Depuis le 24 décembre 2024, une série d’attaques informatiques a compromis au moins 30 extensions du navigateur Chrome, mettant en péril plus de 2,5 millions d’utilisateurs, selon les analyses de Secure Annex. Le point de départ de cette campagne a été identifié comme un hameçonnage ciblant un employé de la société californienne de cybersécurité Cyberhaven. Les pirates ont exploité cette brèche pour publier une version malveillante de l’extension Chrome de l’entreprise (v24.10.4).
Cette version compromise, active pendant un peu plus de 25 heures, avait la capacité d’exfiltrer des données sensibles comme des cookies et des sessions d’authentification. Ces informations permettent aux attaquants d’accéder potentiellement à des comptes protégés, notamment sur des plateformes de publicité comme Facebook Ads. Cyberhaven a confirmé l’attaque dans un communiqué, précisant que l’incident s’inscrivait dans une « campagne bien plus large » visant également d’autres extensions.
Des extensions populaires infectées
Parmi les extensions compromises figurent des outils largement utilisés, tels que :
- Visual Effect for Google Meet
- Cyberhaven Security Extension V3
- Reader Mode
- YesCaptcha Assistant
- Email Hunter
- Bard AI Chat
- GraphQL Network Inspector
- Primus
Secure Annex a également identifié des extensions touchées dans des catégories spécifiques, comme les VPN ou l’intelligence artificielle, à l’instar de VPNCity, Internxt VPN, Uvoice, ou encore ParrotTalks. Ces extensions, téléchargées par des milliers, voire des millions d’utilisateurs, ont été détournées pour voler des données sensibles. Les chercheurs estiment que les attaquants ont utilisé des serveurs de commande et de contrôle similaires pour orchestrer les différentes intrusions.
Quels risques pour les utilisateurs ?
Les conséquences pour les utilisateurs touchés peuvent être graves. Les cookies et tokens d’authentification exfiltrés permettent aux pirates d’accéder à des comptes sans nécessiter de mot de passe. Ces données peuvent être exploitées pour détourner des comptes professionnels, notamment sur des plateformes comme Facebook Ads, où les cybercriminels peuvent lancer des campagnes publicitaires frauduleuses aux frais des victimes.
Jaime Blasco, cofondateur de Nudge Security, a souligné que les hackers semblent cibler spécifiquement les extensions utilisées par des professionnels ou liées à des outils de productivité et de sécurité. Cela pourrait indiquer une stratégie visant des utilisateurs ayant un rôle clé dans leurs organisations, augmentant ainsi l’impact potentiel des attaques.
Comment se protéger face à cette menace ?
Pour les utilisateurs ayant installé l’une des extensions compromises, les experts en cybersécurité recommandent de :
- Supprimer immédiatement les extensions suspectes.
- Changer les mots de passe des comptes concernés, en particulier ceux qui ne sont pas protégés par une authentification multifactorielle (2FA).
- Surveiller attentivement les activités inhabituelles sur les comptes, comme des connexions depuis des appareils inconnus ou des demandes de changement de mot de passe non sollicitées.
- Limiter le nombre d’extensions installées et privilégier celles provenant de sources fiables.
Cyberhaven a également conseillé aux entreprises de vérifier leurs journaux d’activité afin d’identifier toute tentative d’accès suspecte. L’utilisation de gestionnaires de mots de passe et l’activation de l’authentification FIDO2 sont également fortement recommandées pour renforcer la sécurité.
L’impact sur les développeurs et les entreprises
Outre les utilisateurs finaux, les développeurs d’extensions sont également des cibles privilégiées dans cette campagne de piratage. En compromettant les comptes des créateurs sur le Chrome Web Store, les hackers ont pu publier des versions vérolées de leurs extensions, exploitant la confiance des utilisateurs envers ces outils. Cette stratégie pourrait avoir des répercussions durables sur la réputation des développeurs et des entreprises touchées.
Cyberhaven, qui compte parmi ses clients des entreprises prestigieuses comme Reddit et Motorola, a rapidement réagi en publiant une version corrigée de son extension et en collaborant avec les autorités fédérales pour enquêter sur l’incident. Cependant, selon Jaime Blasco de Nudge Security, d’autres entreprises n’ont pas encore confirmé publiquement les attaques sur leurs extensions, ce qui pourrait compliquer la gestion de la crise.
Une alerte pour la cybersécurité globale
Cette vague d’attaques met en lumière une vulnérabilité majeure dans l’écosystème des extensions de navigateurs, souvent perçues comme des outils fiables et inoffensifs. Les experts appellent à une vigilance accrue, tant de la part des utilisateurs que des développeurs. Google, de son côté, pourrait être incité à renforcer les mesures de sécurité sur le Chrome Web Store, comme l’introduction de processus de validation plus stricts pour les mises à jour d’extensions.
En attendant, cette affaire rappelle à tous l’importance de mettre à jour régulièrement ses applications, de limiter les permissions accordées aux extensions et de surveiller activement ses comptes en ligne pour détecter toute activité suspecte.