Jeff Bruchado
Retour au blog

Une Campagne Malveillante de 7 Ans a Installé des Backdoors dans des Millions d'Extensions Chrome et Edge

Salut HaWkers, une découverte alarmante a été révélée cette semaine dans le monde de la sécurité numérique. Des chercheurs ont identifié une campagne malveillante qui a opéré pendant 7 ans, compromettant des extensions populaires de Chrome et Edge avec des backdoors qui ont potentiellement affecté des millions d'utilisateurs.

Combien d'extensions avez-vous installées dans votre navigateur en ce moment même ? Et combien d'entre elles avez-vous vraiment vérifiées avant de les installer ? Ce type d'attaque montre comment même les outils que nous considérons comme sûrs peuvent être des vecteurs de menaces.

La Découverte

La campagne a été exposée récemment par des chercheurs en sécurité qui ont identifié un schéma sophistiqué de compromission d'extensions de navigateurs. L'attaque a opéré silencieusement depuis 2018, passant inaperçue par tous les mécanismes de sécurité des stores d'extensions.

Comment Fonctionnait l'Attaque

Le schéma suivait un pattern bien structuré :

Phase 1 : Acquisition

Les attaquants identifiaient des extensions populaires dont les développeurs originaux avaient perdu intérêt ou étaient disposés à vendre. Les extensions avec des centaines de milliers d'utilisateurs étaient des cibles préférentielles.

Phase 2 : Mise à jour malveillante

Après avoir acquis l'extension, une mise à jour était lancée contenant du code malveillant obfusqué. Comme les utilisateurs faisaient déjà confiance à l'extension, la mise à jour était installée automatiquement.

Phase 3 : Persistance

Le backdoor était conçu pour être extrêmement discret, ne s'activant que dans des conditions spécifiques pour éviter la détection par les outils de sécurité et l'analyse de code.

Phase 4 : Exfiltration

Une fois actif, le malware pouvait :

  • Voler des cookies de session
  • Intercepter des identifiants
  • Injecter des publicités frauduleuses
  • Rediriger le trafic
  • Collecter des données de navigation

Ampleur du Problème

Chiffres Alarmants

La campagne a compromis des dizaines d'extensions, incluant certaines avec :

  • Plus d'1 million d'installations actives
  • Des évaluations positives de 4.5+ étoiles
  • Des années d'historique "propre"

Catégories les plus affectées :

Catégorie Risque
VPNs gratuits Élevé
Gestionnaires de téléchargement Élevé
Modificateurs de page Moyen
Outils de productivité Moyen
Thèmes et personnalisation Faible à Moyen

Pourquoi Cela a Duré Aussi Longtemps

Plusieurs facteurs ont permis à la campagne d'opérer pendant 7 ans :

Obfuscation sophistiquée

Le code malveillant était hautement obfusqué et fragmenté, rendant la détection par analyse statique difficile.

Activation conditionnelle

Le backdoor n'était activé qu'après une période d'"incubation" et uniquement dans certaines conditions géographiques et d'usage.

Infrastructure distribuée

Les serveurs de commande et contrôle (C2) utilisaient des domaines qui changeaient fréquemment et se mêlaient au trafic légitime.

Achat de réputation

En acquérant des extensions déjà établies, les attaquants héritaient de toute la confiance construite par le développeur original.

Comment Vérifier Si Vous Êtes Affecté

Étape 1 : Réviser les Extensions Installées

Sur Chrome, accédez à chrome://extensions/ et sur Edge, accédez à edge://extensions/.

Vérifiez :

  • Date de la dernière mise à jour de chaque extension
  • Si le développeur a changé récemment
  • Permissions demandées par l'extension

Étape 2 : Vérifier les Permissions Excessives

Méfiez-vous des extensions qui demandent :

- Lire et modifier toutes les données sur tous les sites
- Gérer les téléchargements
- Modifier les données envoyées aux serveurs
- Accéder aux onglets et fenêtres

Si une extension de thèmes demande l'accès à toutes vos données de navigation, quelque chose ne va pas.

Étape 3 : Utiliser des Outils d'Analyse

Il existe des outils qui peuvent aider à identifier des extensions potentiellement malveillantes :

CRXcavator (pour Chrome)

Service qui analyse les extensions Chrome et fournit un score de risque basé sur les permissions et le comportement.

Extension Police

Extension qui surveille les changements dans d'autres extensions et alerte sur les mises à jour suspectes.

Étape 4 : Surveiller le Trafic Réseau

Pour les utilisateurs plus techniques, surveiller le trafic réseau du navigateur peut révéler des communications suspectes :

# Linux/macOS - Surveiller les connexions de Chrome
lsof -i -n | grep -i chrome

# Windows PowerShell
Get-NetTCPConnection | Where-Object {$_.OwningProcess -eq (Get-Process chrome).Id}

Bonnes Pratiques de Sécurité Pour les Extensions

Avant d'Installer

1. Vérifiez le développeur

Recherchez qui est derrière l'extension. Les développeurs connus et les entreprises établies sont plus fiables.

2. Analysez les permissions

N'installez que des extensions qui demandent le minimum nécessaire de permissions pour fonctionner.

3. Consultez les avis récents

Les avis anciens peuvent ne pas refléter l'état actuel de l'extension. Concentrez-vous sur les commentaires des derniers mois.

4. Préférez les extensions open source

Le code ouvert permet à la communauté d'auditer la sécurité.

Après l'Installation

1. Gardez peu d'extensions

Moins d'extensions signifie une surface d'attaque plus petite.

2. Désactivez quand vous n'utilisez pas

Les extensions que vous utilisez rarement peuvent être désactivées et activées uniquement quand nécessaire.

3. Révisez périodiquement

Tous les quelques mois, révisez vos extensions et supprimez celles que vous n'utilisez plus.

Réponse des Entreprises

Google

Google a retiré les extensions identifiées du Chrome Web Store et travaille sur des améliorations des processus de révision :

  • Analyse plus rigoureuse des mises à jour d'extensions qui changent de propriétaire
  • Machine learning pour détecter les comportements suspects
  • Surveillance des communications réseau des extensions

Microsoft

Microsoft a également pris des actions similaires sur l'Edge Add-ons store et implémente :

  • Vérifications supplémentaires pour les extensions qui demandent des permissions sensibles
  • Meilleur suivi des changements de propriété
  • Collaboration plus étroite avec les chercheurs en sécurité

L'Écosystème des Extensions Doit Changer

Problèmes Structurels

Cet incident expose des problèmes fondamentaux dans le modèle actuel de distribution d'extensions :

Transfert de propriété opaque

Quand une extension change de propriétaire, les utilisateurs ne sont pas notifiés. Cela permet aux attaquants d'acheter des extensions et de les transformer en malware.

Mises à jour automatiques sans révision

Les extensions peuvent être mises à jour automatiquement sans révision de sécurité proportionnelle au nombre d'utilisateurs affectés.

Permissions trop larges

Le modèle de permissions actuel est trop binaire. Une extension a ou n'a pas accès aux données - il n'y a pas de niveaux intermédiaires.

Solutions Proposées

Chercheurs et experts en sécurité suggèrent :

Manifest V3

La nouvelle version du manifeste des extensions Chrome limite déjà certaines capacités dangereuses, mais la transition est lente et controversée.

Notification de changement de propriété

Les utilisateurs devraient être notifiés et avoir l'option de réviser les extensions qui changent de développeur.

Sandbox plus restrictif

Les extensions devraient opérer dans des environnements plus isolés, avec un accès granulaire uniquement à ce dont elles ont vraiment besoin.

Leçons Pour les Développeurs

Si vous développez des extensions de navigateur, cet incident offre des leçons importantes :

Sécurité de la Supply Chain

Protégez vos identifiants

Les comptes développeur sont des cibles précieuses. Utilisez l'authentification multifacteur et des mots de passe forts.

Auditez les dépendances

Les extensions qui utilisent des bibliothèques tierces peuvent être compromises indirectement.

Surveillez les accès

Restez attentif aux tentatives d'accès non autorisé à votre compte développeur.

Si Vous Vendez

Si vous décidez de vendre ou transférer une extension :

  • Considérez l'impact sur les utilisateurs
  • Vérifiez la réputation de l'acheteur
  • Soyez transparent avec la communauté sur le transfert

Conclusion

La campagne de 7 ans de backdoor dans les extensions est un rappel contondant que la sécurité numérique requiert une vigilance constante. Même les outils que nous utilisons quotidiennement et considérons comme sûrs peuvent être compromis.

Pour les utilisateurs, la recommandation est claire : révisez vos extensions, supprimez les inutiles et soyez critiques avant d'en installer de nouvelles. Pour les développeurs et entreprises tech, c'est le moment de repenser comment l'écosystème des extensions fonctionne.

Si vous voulez en apprendre plus sur la sécurité en développement web, je recommande de consulter l'article Vulnérabilité Critique dans React et Next.js Permet l'Exécution de Code à Distance où nous discutons d'une autre menace récente et comment vous protéger.

C'est parti ! 🦅

Commentaires (0)

Cet article n'a pas encore de commentaires. Soyez le premier!

Ajouter des commentaires