Une étude Aware montre que les extensions Chrome peuvent véhiculer des menaces à l’insu de Google et au beau milieu de son store. De quoi interpeller certains DSI sur les risques des navigateurs modernes et sur la nécessité de contrôler les extensions installées par les utilisateurs.

Google a retiré cette semaine plus de 100 extensions malveillantes de son Chrome Web Store après avoir été alerté par les chercheurs d’Awake Security de leur présence.

Dans un rapport publié hier, ces chercheurs ont mis en évidence l’existence de 111 extensions qui siphonnaient les données privées des internautes, réalisant des captures d’écran, volant le contenu du presse-papier, dérobant les cookies d’identification sur les sites, capturant les saisies claviers pour dérober les mots de passe.

Awake a mis en évidence que ces extensions communiquaient avec 15 160 domaines attribués par le registrar Israélien GalComm. Selon les chercheurs, il paraît difficile de croire que Galcomm n’est pas complice des groupes de cybercriminels derrière ces extensions malveillantes : 60% des domaines enregistrés chez GalComm mènent à des services diffusant des malwares ou des outils de surveillance s’intégrant aux navigateurs Web.

Ce qui doit alerter les DSI, c’est que les 111 extensions malveillantes ont été téléchargées plus de 33 millions de fois ! Après avoir analysé plus de 100 réseaux de services financiers, d’industries du pétrole et du gaz mais aussi de services de médias et de divertissement, de soins de santé et de produits pharmaceutiques, de vente au détail, de haute technologie, d’enseignement supérieur et d’organisations gouvernementales, Awake a découvert que les acteurs derrière ces menaces ciblant le navigateur Chrome et les machines Chromebooks ont réussi à établir une présence persistante dans presque tous ces réseaux !

Ce qui surprend également, ce sont les méthodes utilisées par les cybercriminels pour contourner les détections et les gateways de sécurité. Typiquement, ces extensions malveillantes n’appelaient les sources de malwares que si la connexion ne passait pas par un service cloud de filtration des domaines, un service de transit réseau, un service managé, un cloud public.

Il est important toutefois de signaler que toutes les attaques Chrome n’ont pas affecté pour autant les Chromebooks, ces appareils mobiles intégralement basés sur le navigateur de Google. Certaines attaques utilisaient en effet une technique surprenante mais sans impact sur Chromebooks : l’extension téléchargeait Chromium à l’insu de l’utilisateur puis l’installait et en faisait le nouveau navigateur par défaut afin de contourner les protections du navigateur officiel. Une pratique impossible à exécuter sur les Chromebooks qui sont figés par leur système Chrome OS.

L’incident doit tout de même rappeler à tous que les extensions des navigateurs sont des portes d’entrée sur le système (quel qu’il soit) et peuvent véhiculer des malwares et des espiogiciels. Sans oublier bien sûr, même si cela n’a rien à voir avec l’étude Awake, que le Phishing, peu importe le système, reste l’une des menaces les plus universelles et les plus dangereuses du moment.