Plus de 500 extensions de Google Chrome ont siphonné les données de millions d'utilisateurs

Plus de 500 extensions du navigateur Google Chrome, téléchargées des millions de fois, siphonnaient les données de leurs utilisateurs. Dans un rapport publié jeudi 13 février 2020, l'experte en cybersécurité Jamila Kaya a indiqué avoir relevé de premiers biais avant de se rapprocher de Duo Security, une filiale de Cisco.

Ensemble, ils sont parvenus à isoler 71 modules au comportement suspect grâce à l’extension gratuite éditée par Duo Security, baptisée CRXcavator. Les deux parties ont alors informé Google de leurs découvertes, qui, après de nouvelles recherches, a identifié 430 autres extensions malveillantes. Elles ont été immédiatement retirées du Chrome Web Store.

Fraude publicitaire et hameçonnage

Les extensions pour navigateurs web sont souvent pointées du doigt pour le peu de protection qu’elles offrent. "Ici, celles que nous avons repérées ont volontairement dissimulé des fonctionnalités conçues à des fins publicitaires. Elles exfiltraient les historiques de navigation des utilisateurs à leur insu, augmentant le risque que ces derniers reçoivent des campagnes de promotion ciblées. Elles échappaient complètement au mécanisme de sécurité de Google Chrome", a expliqué dans une publication Jamila Kaya.

Appelée "malvertising" (pour malicious advertising, c’est-à-dire publicité malicieuse en français), cette technique est prisée des malfaiteurs car elle permet de rediriger le trafic des utilisateurs sans leur consentement. Présentées à l’utilisateur comme un moyen d’obtenir des promotions, ces extensions le redirigeaient la plupart du temps vers d'inoffensives publicités pour Macy’s, Dell et Best Buy. Mais l'internaute était souvent redirigé jusqu'à trente fois, et la plupart des pubs lui étaient cachées. Par ailleurs, il était parfois redirigé vers des sites de phishing ou installant des logiciels malveillants. Selon les chercheurs, ces méfaits ont eu lieu pendant un an au moins, depuis le mois de janvier 2019. Ils pourraient, dans les faits, avoir été commis régulièrement depuis 2017.

LE MALVERTISING, DIFFICILE à REPéRER

Le malvertising, qui peut se loger dans des programmes extrêmement divers, conduit le plus souvent à des attaques telles que la fraude publicitaire ou encore le hameçonnage (phishing). "La prééminence de cette technique perdurera aussi longtemps que les services de publicité comportementale seront omniprésents sur l’Internet", a souligné Jamila Kaya, qui précise qu’il est, en l'état, impossible de savoir par quel biais l’installation s’effectue. Les 500 extensions mises en question affichent toutes un code source similaire. Le simple fait que certaines fonctions soient appelées différemment empêche leur détection systématique – il est impossible de lier strictement une dénomination à un biais précis.

A gauche, le code du plugin de CrushArcade Advertisements, et, à droite, celui de MapsTrek Promos,
font état de dénominations différentes, mais donnent pourtant les mêmes permissions d’accès.

"Nous apprécions le travail de la communauté scientifique. Lorsqu'on nous alerte au sujet de potentielles violations de nos politiques, nous réagissons et exploitons les incidents reportés dans le cadre de l’amélioration de nos analyses automatisées et manuelles. Nous balayons régulièrement notre Web Store pour trouver les extensions utilisant ces techniques, codes et comportements, puis les supprimons lorsque nécessaire", a indiqué un porte-parole de Google, précisant que les utilisateurs concernés ont reçu une notification pour les informer qu’ils avaient installé un plugin incriminé.

Sélectionné pour vous

En Europe et aux États-Unis, des infrastructures critiques ciblées par des cybercriminels russes

Michel Van Den Berghe, Campus Cyber : “Avoir un vrai maillage sur le territoire pour former ailleurs qu’à Paris”

Suite à une cyberattaque, Derichebourg perd 15 à 20 millions d’euros