Cette attaque via une extension du navigateur Google Chrome a compromis des cookies d’authentification.
Photothek via Getty Images
Les hackers ne prennent pas de congés, comme l’atteste une série de compromissions d’extensions du navigateur Google Chrome, débutées à la mi-décembre et se poursuivant durant la période des fêtes. Voici tout ce que vous devez savoir sur les attaques en cours de contournement de l’authentification à deux facteurs sur Google Chrome.
Explication des récentes attaques contre les extensions de navigateur Google Chrome
Selon un rapport de Reuters daté du 27 décembre, « des hackers ont compromis plusieurs extensions de navigateur Chrome de différentes entreprises au cours d’une série d’intrusions ». Bien que l’utilisation des extensions Chrome comme méthode d’attaque ne soit pas une nouveauté, l’ampleur de cette dernière campagne témoigne de la détermination des hackers à voler des cookies de session et à contourner vos protections d’authentification à deux facteurs.
Bien que constituer une partie d’une campagne synchronisée et étendue visant les extensions Chrome, l’attaque contre la société de sécurité Cyberhaven mérite d’être examinée, car elle illustre les dangers potentiels de telles attaques tout en soulignant l’importance d’une réponse rapide.
Notre équipe a confirmé une attaque cybernétique malveillante survenue la veille de Noël, affectant l’extension Chrome de Cyberhaven, a déclaré Howard Ting, PDG de l’entreprise spécialisée dans la détection d’attaques de données et la réponse aux incidents. “Nous souhaitons partager tous les détails de l’incident et les mesures que nous prenons pour protéger nos clients et atténuer tout dommage.”
L’attaque de l’extension Chrome de Cyberhaven
L’attaque contre les clients de Cyberhaven a commencé le 24 décembre, lorsqu’une menace par phishing a réussi à compromettre un employé. Cette compromission de données a permis à l’attaquant d’accéder au Google Chrome Web Store. “L’attaquant a utilisé ces identifiants pour publier une version malveillante de notre extension Chrome,” a confirmé Ting. Cette extension malveillante n’a été découverte que tard dans la soirée du 25 décembre, après quoi elle a été retirée dans les 60 minutes.
Une enquête préliminaire sur l’attaque a révélé que le vecteur d’accès initial provenait d’un courriel de phishing envoyé à l’adresse de support enregistrée pour l’extension Chrome de Cyberhaven, ciblant ainsi les développeurs. Cyberhaven a rendu cet e-mail disponible pour avertir les autres sur l’apparence d’une telle attaque initiale.
Lorsque la victime a cliqué sur le lien, elle s’est retrouvée dans le flux d’autorisation Google pour “ajouter une application Google OAUTH malveillante appelée Privacy Policy Extension”, a indiqué Cyberhaven. Cela était hébergé sur Google.com et faisait partie du processus standard pour accorder l’accès aux applications Google tierces qui, dans ce cas, a involontairement autorisé une application malveillante. “L’employé avait activé la protection avancée de Google et avait la MFA couvant son compte,” a précisé Cyberhaven. Aucun prompt d’authentification à multi-facteurs n’a été reçu et les identifiants Google de l’employé n’ont pas été compromis durant l’attaque.
Une extension malveillante (version 24.10.4) basée sur une version antérieure propre de l’extension Chrome officielle de Cyberhaven a ensuite été téléchargée sur le Chrome Store.
Attaque de contournement de l’authentification à deux facteurs sur Chrome – Impact, portée et réponses
Selon Ting, l’impact et la portée des attaques de l’extension Chrome de Cyberhaven sont clairs :
La seule version de l’extension Chrome touchée a été la 24.10.4, et le code malveillant n’a été actif que le jour de Noël et le lendemain. Seuls les clients utilisant des navigateurs basés sur Chrome qui se sont mis à jour automatiquement durant la période de l’attaque auraient été affectés.
Pour les navigateurs exécutant l’extension compromise, Cyberhaven a confirmé qu’elle « aurait pu exfiltrer des cookies et des sessions authentifiées pour certains sites web ciblés ». Les enquêtes initiales suggèrent que les connexions visées étaient celles des plateformes de publicité sur les réseaux sociaux et d’IA.
« Notre enquête a confirmé qu’aucun autre système Cyberhaven, y compris nos processus CI/CD et nos clés de signature de code, n’a été compromis, » a déclaré Ting.
Les clients touchés ont été avertis par Cyberhaven, ainsi que ceux qui n’étaient pas identifiés comme impactés, dans un souci de transparence totale. L’extension Chrome malveillante a été supprimée du Chrome Web Store, et une version sécurisée, 24.10.5, a été déployée automatiquement. « Pour les clients utilisant la version 24.10.4 de notre extension Chrome durant la période concernée, » a souligné Ting, « nous recommandons vivement de vérifier que votre extension a été mise à jour vers la version 24.10.5 ou ultérieure. » J’ai sollicité une déclaration de Google.
Bon à savoir
- Les attaques par phishing sont souvent le point d’entrée de nombreuses cyberattaques.
- La protection avancée de Google peut réduire les risques, mais ne garantit pas la sécurité absolue.
- Les extensions de navigateur doivent régulièrement être vérifiées et mises à jour pour prévenir les intrusions.
Le phénomène des cyberattaques évolue constamment, soulignant l’importance d’un vigilance continue. Réfléchissons ensemble à la manière dont nous pouvons tous contribuer à améliorer la cybersécurité, non seulement au sein des organisations mais également dans nos usages quotidiens.
C’est fou comme les hackers évoluent ! Même avec la 2FA, ils trouvent des moyens de passer. Une bonne raison de toujours rester vigilant avec nos extensions.
Cette attaque met en lumière l’importance de rester vigilant face aux extensions de navigateur. La cybersécurité est un enjeu crucial pour tous, alors restons informés et prudents !
Julien, cet article met en lumière des attaques inquiétantes. La cybersécurité reste cruciale, et il est essentiel de rester vigilant avec nos outils technologiques.
Ces attaques soulignent la fragilité de notre sécurité numérique. La beauté de la technologie peut être ternie par des menaces invisibles. Restons vigilants et créatifs dans notre protection.