Les pirates informatiques ont compromis 36 extensions populaires disponibles sur le Chrome Web Store, infectant plus de 2,6 millions d’utilisateurs grâce à une campagne de phishing sophistiquée. Cette attaque a permis de voler des données sensibles et de contourner les mesures de sécurité habituelles.
Une attaque ciblée pendant le réveillon de Noël
Compromission des extensions populaires
La veille de Noël, des cybercriminels ont injecté du code malveillant dans des mises à jour d’extensions populaires sur le Chrome Web Store. Ils ont exploité les comptes de développeurs en les détournant, rendant les nouvelles versions infectées accessibles à des millions d’internautes.
Ces extensions, une fois installées ou mises à jour, ont siphonné les données personnelles des utilisateurs, compromettant ainsi leur confidentialité. Les données volées pourraient inclure des identifiants de connexion, des mots de passe et d’autres informations sensibles.
Impact massif sur les utilisateurs
D’après Cyberhaven, l’une des sociétés de cybersécurité impliquées dans l’enquête, les pirates ont ciblé 36 extensions cumulant plus de 2,6 millions d’utilisateurs. Les autorités continuent de surveiller la situation pour détecter d’autres éventuelles infections et alerter les utilisateurs affectés.
Les origines : une campagne de phishing sophistiquée
Une attaque planifiée depuis des mois
Les premières traces de l’attaque remontent à mars 2024, bien que la campagne de phishing ait véritablement débuté en décembre 2024. Les pirates ont envoyé des e-mails frauduleux aux développeurs d’extensions, se faisant passer pour des représentants de Google.
Ces messages mentionnaient une supposée violation des règles des extensions Chrome, comme des « détails inutiles dans la description », pour inciter les développeurs à agir rapidement. En cliquant sur le lien fourni, les victimes étaient redirigées vers une page de phishing imitant le Chrome Web Store.
Témoignages de développeurs piégés
Certains développeurs, comme ceux signalant sur Google Groups, ont décrit des e-mails « particulièrement convaincants ». Les pirates utilisaient des noms de domaine crédibles, tels que supportchromestore.com et chromeforextension.com, pour renforcer leur crédibilité.
Une fois sur la page frauduleuse, les développeurs étaient invités à fournir un accès complet à leurs comptes via une application OAuth malveillante, leur demandant de désactiver les protections comme l’authentification à deux facteurs. Ce procédé a permis aux hackers de contrôler entièrement les extensions compromises.
Les conséquences de l’attaque
Exploitation des données des utilisateurs
Une fois les extensions infectées, les pirates ont pu collecter des données sensibles à grande échelle. Ces informations pourraient être utilisées pour :
- Voler des identifiants de connexion ;
- Lancer d’autres attaques ciblées, comme des campagnes de phishing supplémentaires ;
- Vendre les données sur des marchés illégaux du Dark Web.
Réactions de Google et des experts en cybersécurité
Google, qui supervise le Chrome Web Store, n’a pas encore publié de déclaration officielle concernant cette attaque massive. Toutefois, les experts en cybersécurité, dont ceux de Cyberhaven, appellent les utilisateurs à :
- Vérifier régulièrement leurs extensions installées ;
- Désinstaller immédiatement toute extension suspecte ou non reconnue ;
- Activer l’authentification à deux facteurs sur leur compte Google.
Comment se protéger contre ces attaques ?
Mesures pour les développeurs
Les développeurs doivent être particulièrement vigilants face aux campagnes de phishing. Voici quelques bonnes pratiques :
- Toujours vérifier l’authenticité des e-mails reçus, en scrutant les noms de domaine et les signatures ;
- Activer l’authentification à deux facteurs pour sécuriser les comptes de développeurs ;
- Ne jamais cliquer sur des liens non vérifiés.
Conseils pour les utilisateurs
Pour les internautes, voici comment minimiser les risques d’infection :
- Téléchargez uniquement des extensions issues de développeurs reconnus ;
- Gardez votre navigateur et vos extensions à jour ;
- Installez un logiciel antivirus fiable pour détecter et bloquer les menaces potentielles.
Une alerte pour l’écosystème Chrome
Cette cyberattaque démontre une fois de plus les vulnérabilités du Chrome Web Store et l’importance de la vigilance des développeurs et des utilisateurs. Avec plus de 2,6 millions d’internautes affectés, cet événement marque l’une des attaques les plus significatives de ces dernières années. Il est impératif que Google renforce ses protocoles de sécurité pour prévenir de futures compromissions.