Site de partage de fichiers populaire Mega.nz avertit les utilisateurs que les cybercriminels ont piraté son extension de navigateur pour Google Chrome afin que les noms d’utilisateur et les mots de passe soumis via le navigateur soient copiés et transmis à un serveur malveillant en Ukraine. Cette attaque nous rappelle que les extensions de navigateur légitimes peuvent tomber et tombent périodiquement entre de mauvaises mains, et qu’il est logique de limiter votre exposition à de telles attaques en vous débarrassant des extensions qui ne sont plus utiles ou activement maintenues par les développeurs. .
Dans une déclaration publiée sur son site Web, Mega.nz a déclaré que l’extension pour Chrome avait été compromise après le piratage de son compte Chrome Web Store. De leur poste:
« Le 4 septembre 2018 à 14h30 UTC, un attaquant inconnu a téléchargé une version trojanée de l’extension Chrome de MEGA, version 3.39.4, sur la boutique en ligne Google Chrome. Lors de l’installation ou de la mise à jour automatique, il demanderait des autorisations élevées (lire et modifier toutes vos données sur les sites Web que vous visitez) que la véritable extension de MEGA n’exige pas et exfiltrerait (si les autorisations étaient accordées) les informations d’identification pour les sites, y compris amazon.com, live.com, github.com, google.com (pour la connexion à la boutique en ligne), myetherwallet.com, monmonero.com, idex.market et requêtes HTTP POST vers d’autres sites, vers un serveur situé en Ukraine. Notez que les informations d’identification de mega.nz n’étaient pas exfiltrées.
Extensions de navigateur peut être incroyablement pratique et utile, mais les extensions compromises – selon le niveau de « permissions » ou d’accès qui leur ont été accordés à l’origine – peut également permettre aux attaquants d’accéder à toutes les données de votre ordinateur et aux sites Web que vous visitez.
De son côté, Google essaie de communiquer le risque potentiel des extensions en utilisant trois niveaux « d’alerte » : Faible, moyen et élevé, comme détaillé dans la capture d’écran ci-dessous. En pratique, cependant, la plupart des extensions portent le niveau d’alerte moyen ou élevé, ce qui signifie que si l’extension est d’une manière ou d’une autre compromise (ou malveillante dès le départ), l’attaquant qui la contrôle aura accès à une tonne d’informations sensibles. sur un grand nombre d’internautes.
Dans de nombreux cas – comme dans la violation de cette semaine avec Mega – une extension est compromise après qu’une personne ayant le droit légitime de modifier son code se fait hameçonner ou pirater. Dans d’autres cas, le contrôle et la propriété d’une extension établie peuvent simplement être abandonnés ou vendus à des développeurs louches. Dans les deux cas, les extensions piratées ou dérobées peuvent représenter un cauchemar pour les utilisateurs.
Un principe de base de la cybersécurité stipule que les individus et les organisations peuvent atténuer le risque de se faire pirater dans une certaine mesure en réduisant leur « surface d’attaque » globale, c’est-à-dire la quantité de logiciels et de services sur lesquels ils s’appuient et qui sont potentiellement vulnérables à la compromission. Ce précepte est également valable ici, car limiter sa dépendance aux extensions de navigateur tierces réduit considérablement ses risques.
Personnellement, je n’utilise pas beaucoup les extensions de navigateur. Dans presque tous les cas, j’ai envisagé d’installer une extension, j’ai été suffisamment effrayé par les autorisations demandées pour que j’ai finalement décidé que cela ne valait pas le risque. Je ne fais actuellement confiance qu’à trois extensions dans mon installation Google Chrome ; deux d’entre eux sont fabriqués par Google et comportent des niveaux d’alerte de risque « faibles ». L’autre est une extension tierce que j’utilise depuis des années et qui porte une cote de risque « moyenne », mais qui est également maintenue par une personne que je connais qui est extrêmement paranoïaque et soucieuse de la sécurité.
Si vous êtes le type de personne qui utilise plusieurs extensions, il peut être judicieux d’adopter une approche basée sur les risques à l’avenir. En d’autres termes, étant donné les enjeux élevés qui accompagnent généralement l’installation d’une extension, déterminez attentivement si le fait d’avoir une extension donnée en vaut vraiment la peine. Soit dit en passant, cela s’applique également aux plug-ins conçus pour les systèmes de gestion de contenu de sites Web tels que WordPress et Joomla.
À tout le moins, n’acceptez pas de mettre à jour une extension si elle demande soudainement plus d’autorisations qu’une version précédente. Cela devrait être un drapeau rouge géant indiquant que quelque chose ne va pas.
De plus, ne téléchargez et n’installez jamais une extension simplement parce qu’un site Web indique que vous en avez besoin pour afficher un certain type de contenu. Faire autrement est presque toujours une proposition à haut risque. Ici, la règle n°1 des trois règles de sécurité en ligne de BreachTrace entre en jeu : « Si vous n’êtes pas allé le chercher, ne l’installez pas. » Enfin, si vous souhaitez installer quelque chose, assurez-vous de l’obtenir directement de l’entité qui a produit le logiciel.
Les utilisateurs de Google Chrome peuvent voir toutes les extensions qu’ils ont installées en cliquant sur les trois points à droite de la barre d’adresse, en sélectionnant « Plus d’outils » dans le menu déroulant résultant, puis « Extensions ». Dans Firefox, cliquez sur les trois barres horizontales à côté de la barre d’adresse et sélectionnez « Modules complémentaires », puis cliquez sur le lien « Extensions » sur la page résultante pour afficher toutes les extensions installées.