Plus de détails sur les attaques de contournement de la double authentification via des extensions Chrome
Agence Anadolu via Getty Images
Comme je l’ai rapporté à la fin de décembre, une série d’attaques visant à contourner les protections de double authentification ciblant les utilisateurs de Google Chrome a été confirmée. Une entreprise spécialisée en cybersécurité a révélé que son extension de navigateur avait été infectée par un code malveillant. Au moins 35 entreprises auraient vu leurs extensions Chrome remplacées par des versions malveillantes. Voici tout ce qu’il faut savoir sur cette attaque de contournement de la double authentification alors que de nouvelles informations émergent.
Chronologie de l’attaque de contournement de la double authentification sur Google Chrome
Le mantra des utilisateurs et des défenseurs en matière de cybersécurité devrait être que les hackers ne prennent pas de vacances. Plusieurs cas de compromission d’extensions de navigateur Google Chrome ont commencé à la mi-décembre et se sont poursuivis pendant la période des fêtes. Cependant, selon un rapport de Bleeping Computer, les hackers responsables de ces attaques auraient testé leur méthode et la technologie utilisée dès mars 2024, les domaines permettant de mener à bien l’attaque ayant été enregistrés en novembre et début décembre. « Notre équipe a confirmé une cyberattaque malveillante survenue la veille de Noël, affectant l’extension Chrome de Cyberhaven », a déclaré Howard Ting, PDG de la société spécialisée dans la détection des attaques de données et la réponse aux incidents, dans une publication d’alerte de sécurité, « nous souhaitons partager tous les détails de l’incident et les mesures que nous prenons pour protéger nos clients et atténuer les dégâts. »
L’attaque contre Cyberhaven a commencé lorsqu’un employé a été victime d’une pêche à l’escroquerie, permettant ainsi aux hackers d’accéder aux identifiants nécessaires pour obtenir un accès développeur au Google Chrome Web Store. Cela leur a permis de publier une version malveillante de l’extension utilisée par Cyberhaven, contenant du code pour exfiltrer les cookies de session et contourner les protections de double authentification pour quiconque était touché. L’attaque a démarré le 24 décembre et a été découverte tard le 25 décembre lorsque l’extension a été supprimée en moins de 60 minutes.
Nouveaux détails sur les méthodes d’attaque de contournement de la double authentification sur Google Chrome
Selon l’équipe de Bleeping Computer, l’attaque de contournement de la double authentification semble avoir compromis au moins 35 extensions de navigateur, touchant potentiellement environ 2,6 millions d’utilisateurs. L’attaque aurait commencé en réalité contre les développeurs d’extensions ciblées le 5 décembre, avec ce que les développeurs décrivent comme un e-mail de phishing sophistiqué. Se présentant comme provenant de domaines potentiels du Chrome Web Store (tous faux, bien entendu), cet e-mail mentionnait une violation des politiques concernant les extensions. Ce faux e-mail a provoqué une certaine urgence en menaçant de supprimer l’extension si la violation n’était pas corrigée.
« Nous n’acceptons pas d’extensions ayant des métadonnées trompeuses, mal formatées ou inappropriées », pouvait-on lire dans l’e-mail consulté par Bleeping Computer. Les victimes étaient ensuite dirigées vers une page de vérification des politiques qui récoltait en réalité des identifiants nécessaires pour donner accès aux ressources Google aux développeurs d’applications tierces. « L’employé a suivi le flux standard et a involontairement autorisé cette application tierce malveillante », ont déclaré les responsables de Cyberhaven dans un rapport d’incident préliminaire.
Une analyse des indicateurs de compromission liés à ces attaques a montré que les attaquants visaient spécifiquement les comptes Facebook des utilisateurs des extensions contaminées. Il semblerait qu’un écouteur d’événements de clics recherchait spécifiquement des images de codes QR associées aux mécanismes 2FA de Facebook.
J’ai contacté Google et Facebook pour obtenir une déclaration.
Les protections de Chrome contre les attaques de contournement de la double authentification
Google Chrome utilise un chiffrement lié aux applications, qui protège les données d’identité de la même manière que le fait la fonction Keychain sur macOS. Cela empêche toute application exécutée par l’utilisateur connecté d’accéder à des secrets tels que les cookies de session, souvent exploités dans les attaques de contournement de la double authentification. Google offre également des protections, telles que la navigation sécurisée, les identifiants de session liés aux appareils et la détection des menaces basées sur les comptes Google. Un porte-parole de Google a déclaré : « Il existe de nombreuses protections contre de telles attaques, notamment des clés de sécurité qui réduisent considérablement l’impact des attaques par phishing et d’autres formes d’ingénierie sociale. Nos recherches montrent que les clés de sécurité offrent une protection plus solide contre les bots automatisés, les attaques de phishing de masse et des attaques ciblées comparé aux SMS, aux mots de passe à usage unique basés sur des applications et d’autres formes de double authentification traditionnelles. »
Points à retenir
- Une cyberattaque récente a affecté au moins 35 extensions du navigateur Chrome, mettant en jeu environ 2,6 millions d’utilisateurs.
- Les hackers ont exploité une technique de phishing pour obtenir un accès développeur au Google Chrome Web Store.
- Google renforce ses protections avec des outils tels que l’identification sécurisée et la détection des menaces.
Il est essentiel de se rappeler que la cybersécurité est un domaine en constante évolution. Les utilisateurs et entreprises doivent adopter des pratiques de sécurité rigoureuses et se tenir informés des menaces émergentes. Cette situation soulève des questions sur la fiabilité des protections existantes et sur la nécessité d’améliorer continuellement nos systèmes pour anticiper les nouvelles méthodes d’attaque. Que faudrait-il faire pour intensifier ces efforts ?
Cette attaque souligne l’importance de la vigilance en matière de cybersécurité. Le phishing peut frapper n’importe qui, il est crucial de se former et de rester informé.
C’est vraiment inquiétant de voir à quel point les hackers peuvent être astucieux. Cela montre l’importance de rester vigilant sur nos outils numériques. Soyons tous prudents !
Julien, cet article met en lumière un problème crucial de cybersécurité. J’apprécie ta façon d’expliquer les enjeux de manière accessible et engageante. Merci!
C’est alarmant de voir à quel point la cybersécurité est vulnérable ces jours-ci. Il est crucial d’être vigilant et de toujours se méfier des emails suspects. Protégez-vous, mes amis !
Cette attaque révèle une fragilité inquiétante dans nos outils de sécurité. La cybersécurité est un océan tumultueux, et il nous faut des phares pour naviguer avec confiance.