Tout semble indiquer qu’une campagne de logiciels espions récemment découverte a attaqué les utilisateurs de Google Chrome par le biais de 32 millions de téléchargements d’extensions de navigateur.
Le navigateur Google Chrome a supprimé de sa plateforme officielle plus de 70 extensions malveillantes qui avaient été téléchargées 32 millions de fois et qui filtrait les données sensibles des utilisateurs, comme leur historique de navigation ou même leurs mots de passe. La plupart des outils étaient gratuits et étaient censés être des convertisseurs de fichiers ou promettaient d’alerter contre les pages peu fiables, selon une enquête de la société de sécurité américaine Awake Security.
Au lieu de cela, ce « logiciel » a siphonné l’historique de navigation des utilisateurs et d’autres données privées, grâce auxquelles ils pouvaient accéder à des informations d’identification pour accéder aux outils internes de l’entreprise. Selon Awake, les plus de 70 extensions analysées ont été téléchargées 32 millions de fois, ce qui en fait la plus grande campagne malveillante perpétrée par le biais de Chrome à ce jour. Les auteurs n’ont pas été identifiés, car ils ont fourni de fausses coordonnées à Google.
Les extensions ont été conçues pour ne pas être détectées par les antivirus. Selon les chercheurs, lorsque les utilisateurs se connectaient à partir d’un ordinateur personnel et utilisaient l’un de ces outils, ils étaient redirigés vers un certain nombre de sites web malveillants qui transféraient leurs données personnelles.
S’ils le faisaient à partir d’un réseau d’entreprise doté des systèmes de sécurité appropriés, ils n’atteindraient pas les portails qui capturent leurs informations d’identification. « Cela montre comment les attaquants peuvent utiliser des méthodes extrêmement simples pour cacher, dans ce cas, des milliers de domaines malveillants », a déclaré le co-fondateur de Awake, Gary Golomb, à Reuters.
Au total, le réseau de vol de données était constitué de plus de 15 000 domaines interconnectés que les attaquants ont achetés à une petite société israélienne appelée Galcomm.
Bien qu’Awake affirme que l’entreprise aurait dû savoir ce qui se passait, son propriétaire se défend. « Galcomm n’est pas impliqué, et n’est complice d’aucune activité malveillante.
On peut dire exactement le contraire, nous coopérons avec les organismes chargés de l’application de la loi et de la sécurité pour éviter autant de dégâts que possible », déclare Moshe Fogel dans un échange de courriels avec l’agence de presse britannique qui a découvert l’affaire.
Le Chrome Web Store est depuis un certain temps déjà une voie d’introduction de logiciels malveillants. Après avoir détecté plusieurs menaces, Google a entrepris en 2018 d’améliorer la sécurité de son marché des extensions, en intégrant d’importants changements dans le processus d’examen.
Mais en février dernier, une nouvelle enquête a fait ressortir les couleurs du moteur de recherche après avoir découvert une campagne qui avait volé des données à environ 1,7 million d’utilisateurs. La société Mountain View a pris en charge l’enquête et a découvert 500 extensions frauduleuses.
Google n’a pas fourni de détails sur la comparaison entre cette campagne de spyware et les précédentes. Elle n’a pas non plus expliqué pourquoi ces types d’extensions étaient disponibles dans la boutique en ligne Google Chrome, malgré leur comportement malveillant.
Ce n’est pas la première fois que la boutique en ligne Google Chrome propose des extensions qui contiennent du code malveillant. En fait, la société a promis en 2018 d’améliorer les processus de révision afin de préserver la sécurité de ses utilisateurs. Cette nouvelle affaire montre toutefois qu’il reste du travail à faire.
Actuellement, Google Chrome est le navigateur Internet le plus utilisé au monde, selon les données publiées par NetMarketShare. Le logiciel de Google a plus de 60 % de parts de marché sur les appareils de bureau et les appareils mobiles. Aucun de ses principaux rivaux – Safari sur les smartphones et Firefox sur les ordinateurs de bureau – ne détient une part de marché proche de celle du navigateur de Google.
En bref, les extensions ont été créées pour contourner la sécurité et attaquer des millions d’utilisateurs. Google, après avoir été alerté par la société de cybersécurité, a déjà repris les modules complémentaires malveillants.
Cependant, on ne sait pas encore qui était derrière la campagne : les développeurs des extensions malveillantes ont fourni de fausses coordonnées lorsqu’ils les ont soumises à Google.