En 2019, il a été révélé qu’un réseau d’extensions de navigateur, principalement pour Chrome, récupérait les données sensibles de quatre millions d’utilisateurs. Les données récupérées comprenaient des informations personnelles, un historique de navigation, des informations médicales, etc. Les données ont ensuite été monétisées grâce à un programme de commercialisation. Cette violation est devenue connue sous le nom de Incident DataSpii, et il a mis en lumière la mesure dans laquelle les extensions de navigateur malveillantes pourraient compromettre la confidentialité des utilisateurs et la sécurité des données de l'entreprise.

Au cours des dernières années, le risque d’extensions de navigateur malveillantes a considérablement augmenté. Les extensions de navigateur malveillantes peuvent collecter des données sensibles, surveiller les activités en ligne, injecter des publicités indésirables, détourner le trafic vers des sites malveillants et même prendre le contrôle du navigateur d'un utilisateur. Cela met en péril la confidentialité, la sécurité et l’expérience globale en ligne des utilisateurs et des organisations. 

Cependant, la pile traditionnelle de sécurité des points de terminaison et du réseau fait actuellement défaut lorsqu'il s'agit de détecter et de prévenir les activités malveillantes menées via les extensions de navigateur. Dans cet article de blog, nous dévoilerons comment les extensions malveillantes infiltrent les appareils et ce que les entreprises peuvent faire pour y remédier. fortifier leurs réseaux.

Ce billet de blog est basé sur le rapport « Dévoilement de la menace des extensions de navigateur malveillantes », que vous pouvez lire dans son intégralité. ici.

Types d'extensions malveillantes

Les extensions malveillantes présentent un risque actif ou potentiel lorsqu'elles sont installées sur un navigateur. Il existe trois types d'extensions malveillantes :

  • Extension initialement malveillante – Une extension créée de toutes pièces par un adversaire dans un but malveillant.
  • Extension compromise – Une extension initialement légitime qui est devenue la propriété d'un adversaire après avoir directement acheté l'extension ou compromis le compte de développeur de l'extension.
  • Prolongation risquée – Une extension légitime qui dispose d’autorisations excessives.

Comment les extensions de navigateur sont installées

Il existe cinq méthodes par lesquelles une extension malveillante s'installe sur le navigateur d'une victime :

  1. Administrateur – Extensions distribuées de manière centralisée par les administrateurs réseau au sein de l’entreprise. Il s’agit d’extensions avec l’approbation explicite de l’organisation.
  2. Normal – Extensions téléchargées depuis les magasins officiels du navigateur. Les utilisateurs installent des extensions en visitant la liste d'une extension dans le Web Store du navigateur. 
  3. Développement – Extensions chargées depuis les ordinateurs locaux des employés.
  4. Sideload – Extensions installées par des applications tierces, telles qu'Adobe ou d'autres fournisseurs de logiciels. 
  5. Mise à jour du logiciel – Mise à jour d’une extension compromise par un adversaire après sa première installation et utilisée à des fins légitimes.

Autorisations étendues des extensions de navigateur

Les autorisations d'extension de navigateur sont l'ensemble de règles qui dictent les actions qu'une extension est autorisée à effectuer dans votre navigateur. Les autorisations sont demandées et accordées lorsque les utilisateurs installent une extension, et elles peuvent varier considérablement en fonction de la fonctionnalité prévue de l'extension.

Les autorisations sont généralement la pierre angulaire des cyberattaques basées sur les extensions. Une fois l'extension installée, les autorisations peuvent être utilisées pour effectuer des opérations malveillantes.

Les autorisations risquées incluent :

  • Cookies
  • Debugger
  • webDemande
  • presse-papiers
  • contenuParamètres
  • DesktopCaptureֿ\pageCapture
  • History
  • Confidentialité
  • procuration
  • ongletCapture
  • https://*/*

Pour plus de détails sur la manière dont ces autorisations permettent aux adversaires d'infiltrer les appareils et d'accéder aux données sensibles, lire l'intégralité du rapport.

Comment les extensions de navigateur malveillantes attaquent

Une fois installées et autorisées, les extensions peuvent continuer à infiltrer les systèmes de l'organisation. L'attaque complète comprend les étapes suivantes :

  1. L'adversaire crée l'extension ou en achète une existante et y ajoute du code malveillant.
  2. L'extension est téléchargée sur une boutique en ligne ou sur le serveur de l'adversaire.
  3. Les utilisateurs sont incités à installer l’extension via l’ingénierie sociale ou en chargeant l’extension en arrière-plan.
  4. Une fois installée, l'extension demande une gamme d'autorisations, telles que l'accès à l'historique de navigation, aux données personnelles, etc.
  5. Une fois les autorisations accordées, l'adversaire peut commencer à exécuter ses activités malveillantes via l'extension. Par exemple, prendre les mots de passe, les cookies et les certificats stockés dans le navigateur.
  6. Les adversaires peuvent se fondre dans le trafic existant en communiquant à l’aide des protocoles de couche application OSI.
  7. Les adversaires peuvent exfiltrer les données capturées ou extraites par l'extension par différents canaux. Ils préfèrent souvent utiliser des protocoles Web standard en raison du manque courant d’inspection du trafic sortant par les pare-feu/proxy.
  8. Il existe de nombreuses façons dont une attaque malveillante basée sur une extension peut causer des dommages, en fonction des intentions de l'auteur de la menace qui l'initie. Ceux-ci inclus:
  • Accès malveillant aux ressources de l’organisation à l’aide des informations d’identification récoltées. 
  • Augmenter l'exposition des organisations aux attaques en vendant des données compromises sur le dark web.
  • Attaques de phishing ciblées basées sur les données collectées par les utilisateurs. 
  • Consommer de la puissance informatique pour le minage de crypto.
  • Injection de logiciels publicitaires et de publicités malveillantes pour rediriger les utilisateurs vers des sites Web malveillants.

Atténuation : que pouvez-vous faire ?

Chrome ne désinstalle pas automatiquement les extensions non publiées par leurs développeurs ou supprimées du magasin, même si elles sont marquées comme malware. Au lieu de cela, il est de la responsabilité des utilisateurs de supprimer l'extension. Il est donc d’autant plus important de mettre en œuvre des contrôles et des pratiques de sécurité avancés pour protéger le navigateur contre les extensions malveillantes en premier lieu.

Les meilleures pratiques incluent :

    1. Télécharger à partir de sources fiables : Installez uniquement des extensions provenant de magasins d'extensions de navigateur officiels, tels que le Chrome Web Store pour Google Chrome ou le site de modules complémentaires Firefox pour Mozilla Firefox.
    2. Voir quand l'extension a été mise à jour pour la dernière fois: Les mises à jour régulières sont souvent le signe d'un développeur responsable qui corrige les vulnérabilités et assure la compatibilité avec les dernières versions du navigateur. Les extensions obsolètes peuvent manquer de correctifs de sécurité critiques et peuvent présenter un plus grand risque d'exploitation.
    3. Consultez la section Pratiques de confidentialité et le site Web de l'extension : Les extensions légitimes fournissent généralement des politiques de confidentialité claires et concises détaillant la manière dont les données des utilisateurs sont collectées, utilisées et protégées. Tout manque de telles informations ou politiques vagues peuvent être des signaux d’alarme, suggérant une utilisation abusive potentielle des données des utilisateurs.
    4. Recherchez l'extension : Les extensions avec un nombre total de téléchargements élevé, des avis positifs et des notes élevées sont plus susceptibles d'être légitimes et sûres à utiliser. Méfiez-vous des extensions avec un engagement minimal de l'utilisateur, peu d'avis ou des notes faibles, car leur fiabilité pourrait être discutable.
    5. Vérifier les autorisations: Méfiez-vous si une extension demande des autorisations inutiles ou excessives qui semblent sans rapport avec sa fonctionnalité.
    6. Utiliser un logiciel de sécurité: Installez un logiciel antivirus et anti-malware réputé qui peut aider à détecter et à prévenir les extensions malveillantes.
    7. Soyez sceptique: Si l'offre d'une extension semble trop belle pour être vraie ou prétend proposer du contenu illégal gratuitement, elle est probablement malveillante.
    8. Examinez régulièrement les extensions: Vérifiez les extensions que vous avez installées et supprimez celles que vous n'utilisez plus ou que vous soupçonnez d'être malveillantes.
    9. Utilisez une plateforme de sécurité du navigateur : Une plateforme de sécurité du navigateur comme LayerX analysera les navigateurs de votre personnel pour découvrir les extensions malveillantes installées qui devraient être supprimées. De plus, il analysera le comportement des extensions de navigateur existantes pour les empêcher d'accéder aux données sensibles du navigateur. Enfin, la plate-forme empêchera les adversaires d'accéder au large éventail de données d'identification stockées dans votre navigateur, afin d'empêcher le contournement de la MFA et le piratage potentiel du compte.

Pour plus de détails sur chaque stratégie d’atténuation, lire l'intégralité du rapport.

Vos prochaines étapes

Les extensions malveillantes constituent une préoccupation croissante pour les organisations, en raison de leur utilisation répandue, bien que leurs capacités de surveillance soient limitées. Les extensions de navigateur malveillantes peuvent récolter des données sensibles et permettre à des adversaires d'infiltrer les organisations, mettant ainsi l'ensemble de l'organisation en danger.

En faisant preuve de diligence et en employant des pratiques de sécurité avancées, l’organisation peut se protéger contre ce vecteur d’attaque populaire. Essayer LayerX, la plateforme de sécurité du navigateur qui va au-delà de la pile existante et peut identifier et bloquer l'activité des extensions malveillantes, cliquez ici .