Une vaste campagne de piratage a touché des millions d’utilisateurs de Google Chrome. Les pirates ont ciblé des extensions du Chrome Web Store, y injectant un virus après avoir usurpé les identités de développeurs. Retour sur cette attaque sophistiquée.
Une attaque ciblée sur les développeurs d’extensions Chrome
Démarrée en décembre 2024, cette cyberattaque a exploité des failles dans le système de sécurité des extensions Chrome. Les pirates ont d’abord lancé une campagne de phishing (hameçonnage) visant directement les développeurs. Leur objectif : accéder aux comptes des créateurs d’applications pour modifier les extensions en y intégrant un code malveillant.
Un mail trompeur prétendument envoyé par Google
Les hackers ont utilisé des adresses de domaines similaires à celles de Google, telles que supportchromestore.com ou chromeforextension.com, pour duper leurs victimes. Le message, conçu pour paraître officiel, prétendait signaler une infraction aux règles du Chrome Web Store, menaçant de retirer l’extension concernée.
Extrait du faux mail :
« Nous n’autorisons pas les extensions dont les métadonnées sont trompeuses, mal formatées ou non pertinentes. »
Un lien inséré dans le message redirigeait les développeurs vers une page de phishing. Convaincus d’être sur le site officiel, ils ont alors inconsciemment autorisé les pirates à prendre le contrôle de leurs extensions.
Des millions d’utilisateurs touchés par le virus
Une fois les comptes compromis, les hackers ont modifié les extensions directement sur le Chrome Web Store, infectant ainsi les appareils des utilisateurs.
36 extensions compromises
Parmi les extensions visées, une première appartenait à Cyberhaven, une société de cybersécurité. Mais rapidement, l’attaque s’est étendue à 35 autres applications, compromettant ainsi des programmes populaires utilisés à l’international.
2,6 millions de victimes à travers le monde
Selon les estimations de Cyberhaven, plus de 2,6 millions d’internautes ont été impactés. Ces utilisateurs, en installant ou en mettant à jour les extensions, ont téléchargé un logiciel malveillant sans s’en rendre compte.
Un procédé efficace et difficile à repérer
Le virus injecté a permis aux pirates de siphonner des données personnelles. Voici comment ils ont opéré :
- Campagne de phishing sophistiquée : utilisation de mails quasi-identiques à ceux de Google.
- Usurpation de comptes développeurs : les pirates ont obtenu un accès total aux extensions.
- Propagation via mises à jour : les modifications malveillantes ont été déployées sur les appareils des utilisateurs grâce aux mises à jour automatiques.
Comment éviter ce type de piratage ?
Conseils pour les développeurs :
- Ne cliquez jamais sur des liens dans des emails non vérifiés.
- Activez la double authentification sur tous vos comptes professionnels.
- Vérifiez les adresses des domaines utilisés dans les emails.
Conseils pour les utilisateurs :
- Téléchargez uniquement des extensions populaires avec des avis vérifiés.
- Surveillez les permissions demandées par les extensions.
- Installez un logiciel antivirus capable de détecter les activités malveillantes.
Google sous pression : des failles à combler
Cette attaque met en lumière des faiblesses persistantes dans le système de vérification des extensions Chrome. Google devra renforcer la sécurité du Chrome Web Store pour éviter que de tels piratages ne se reproduisent.
Pour les utilisateurs concernés, il est recommandé de désinstaller immédiatement les extensions suspectes et de surveiller leurs comptes pour prévenir toute exploitation de leurs données.
About The Author
