Chrome : une trentaine d’extensions compromises, comment réagir ?
Actualité

Chrome : une trentaine d’extensions compromises, comment réagir ?

artia13

Des millions d’utilisatrices et d’utilisateurs du navigateur de Google, Chrome, sont potentiellement exposés au vol de données après la compromission de nombreuses extensions. Les cyberattaquants ont inséré du code malveillant dans des extensions populaires, visant principalement les cookies de navigation et les sessions d’authentification.

Ces données, particulièrement sensibles, permettent d’accéder à des services protégés et sont très recherchées pour exploiter des comptes, notamment ceux liés à la publicité sur les réseaux sociaux comme Facebook Ads. Selon les experts, les attaquants semblent avoir ciblé des utilisateurs professionnels gérant des campagnes marketing, rendant l’impact potentiel encore plus préoccupant.

Une trentaine d’extensions Chrome compromises

L’incident a commencé, selon Reuters, par une attaque de phishing ciblant un employé de Cyberhaven, une entreprise californienne spécialisée dans la protection des données sensibles. Les pirates ont utilisé cette brèche pour publier une version compromise de l’extension Chrome de Cyberhaven, le 24 décembre 2024. La version malveillante (24.10.4), qui incluait du code permettant l’exfiltration de données, est restée active pendant environ 25 heures. Durant ce laps de temps, des milliers d’utilisatrices et d’utilisateurs ont potentiellement vu leurs informations capturées, avant qu’une version corrigée (24.10.5) ne soit publiée.

Cyberhaven peut confirmer qu’une cyberattaque malveillante a eu lieu la veille de Noël, affectant notre extension Chrome, a confirmé la firme dans un communiqué.

Mais Cyberhaven a suggéré en parallèle que cette attaque faisait partie d’une « campagne bien plus large ». Des recherches menées par Secure Annex ont révélé que les pirates ont compromis 29 autres extensions, en utilisant des serveurs de commande et de contrôle identiques à ceux détectés dans l’attaque Cyberhaven. Cette méthode systématique aurait pour but de cibler non seulement les utilisateurs finaux, mais aussi les développeurs d’extensions Chrome eux-mêmes, exploitant ainsi la confiance des internautes envers des produits considérés comme fiables.

Quelles sont les extensions Chrome concernées par l’attaque ?

Secure Annex a compilé les extensions Chrome touchées par cette cyberattaque. On trouve parmi elles des outils largement utilisés, installés par des millions d’internautes. Voici les extensions les plus populaires compromises :

  • Visual Effect for Google Meet,
  • Cyberhaven Security Extension V3,
  • Reader Mode,
  • YesCaptcha Assistant,
  • Email Hunter,
  • Rewards Search Automator,
  • Bard AI Chat,
  • GraphQL Network Inspector,
  • Castorus,
  • Primus…

Toujours selon Secure Annex, le nombre total d’utilisateurs affectés dépasse les 2,5 millions, un chiffre qui pourrait encore augmenter si d’autres extensions compromises sont découvertes. La liste détaillée des extensions affectées, mise à jour régulièrement, inclut le nom complet de chaque application, le numéro de version touché et leur statut actuel. Un suivi crucial permettant aux personnes potentiellement concernées d’identifier les risques et d’agir rapidement.

Consulter la liste complète

Quelles sont les mesures à prendre pour se protéger ?

Les utilisatrices et utilisateurs ayant installé l’une de ces extensions doivent immédiatement les supprimer. Cette action permettra de couper l’accès aux données pour les pirates et de limiter les dégâts. Cependant, supprimer les extensions infectées ne suffit pas : il est essentiel de surveiller vos comptes en ligne pour détecter des activités suspectes. Soyez attentif à des éléments tels que des demandes de changement de mot de passe inattendues, des connexions depuis des appareils ou emplacements inhabituels, ou encore des modifications d’adresses email associées à vos comptes.

En cas d’activité inhabituelle, il est primordial de changer vos mots de passe sans délai. Pour vous faciliter la tâche, vous pouvez utiliser des gestionnaires de mots de passe, sans oublier d’activer l’authentification multifactorielle (2FA) partout où il est possible de le faire. Cyberhaven, de son côté, recommande aux entreprises touchées de passer en revue leurs journaux d’activité afin d’identifier toute tentative d’accès anormale. Les mots de passe qui ne sont pas protégés par l’authentification multifactorielle FIDO2 doivent être révoqués et remplacés immédiatement.

À noter que les versions d’extensions obsolètes, souvent négligées, peuvent devenir des cibles faciles pour les pirates cherchant à insérer du code malveillant. Il est conseillé de limiter l’installation d’extensions uniquement à celles strictement nécessaires et provenant de sources fiables.

Auteur :

Aller à la source

artia13

Depuis 1998, je poursuis une introspection constante qui m’a conduit à analyser les mécanismes de l’information, de la manipulation et du pouvoir symbolique. Mon engagement est clair : défendre la vérité, outiller les citoyens, et sécuriser les espaces numériques. Spécialiste en analyse des médias, en enquêtes sensibles et en cybersécurité, je mets mes compétences au service de projets éducatifs et sociaux, via l’association Artia13. On me décrit comme quelqu’un de méthodique, engagé, intuitif et lucide. Je crois profondément qu’une société informée est une société plus libre.