Une nouvelle typologie d’attaque informatique complexe, qui vise les extensions du navigateur Google Chrome, menacent des millions d’utilisateurs. Alors que de nombreuses entreprises peinent à avoir une stratégie de cybersécurité basique, ces nouvelles intrusions vont beaucoup plus loin et exploitent des failles inattendues, allant jusqu’à contourner l’authentification à deux facteurs dite 2FA. Découvrez comment ces attaques se déroulent et comment s’en protéger efficacement.
On vous explique comment fonctionnent les attaques contre les extensions Chrome
Les cybercriminels ont ciblé plusieurs entreprises en exploitant leurs extensions Chrome, un vecteur d’attaque qui, bien que connu, prend ici une ampleur alarmante. Ces intrusions, rapportées pour la première fois le 27 décembre, mettent en lumière la détermination des hackers à dérober des cookies de session pour contourner la 2FA.
Une des attaques les plus marquantes a touché Cyberhaven, une entreprise spécialisée dans la détection et la réponse aux incidents. Avec 400 000 clients d’entreprise, l’impact potentiel est considérable. Selon Howard Ting, PDG de Cyberhaven, l’attaque a permis de diffuser une version malveillante de leur extension Chrome le 24 décembre. Bien que retirée rapidement, cette extension compromise illustre la rapidité avec laquelle les menaces peuvent évoluer.
L’attaque qui a fait du bruit : le piratage de l’extension Chrome de Cyberhaven
Tout a commencé par une attaque de phishing qui a compromis les informations d’identification d’un employé, ouvrant ainsi l’accès au Chrome Web Store. Les pirates ont ensuite publié une version malveillante de l’extension de Cyberhaven, infectant les navigateurs des utilisateurs ayant effectué une mise à jour automatique entre le 25 et le 26 décembre 2024
Une enquête préliminaire a révélé que l’attaque avait été initiée via un e-mail de phishing sophistiqué, simulant une demande de validation OAuth. Bien que l’employé ait activé la protection avancée de Google et la 2FA, les cybercriminels ont réussi à éviter les alertes de sécurité. Le résultat : une extension altérée basée sur une version légitime, mais équipée de fonctionnalités permettant de voler des cookies de session et de cibler des plateformes spécifiques.
Comment fonctionne le contournement de la 2FA avec des cookies de session ?
La 2FA, bien qu’essentielle, n’est pas invulnérable. Les attaques dites « man-in-the-middle » permettent aux pirates de capturer les cookies de session créés après une authentification réussie. Ces cookies, conçus pour indiquer qu’un utilisateur est authentifié, peuvent être réutilisés pour usurper l’identité de la victime sans nécessiter ses identifiants ou codes 2FA ultérieurs.
Dans le cadre de cette attaque, les cookies dérobés ciblaient principalement des plateformes publicitaires et d’intelligence artificielle, montrant l’intérêt des cybercriminels pour les accès stratégiques à des comptes professionnels.
Les impacts et la portée des attaques de contournement 2FA
Les enquêtes menées par Cyberhaven ont confirmé que seule la version 24.10.4 de leur extension avait été compromise, et ce, pendant une période de 24 heures. Les navigateurs affectés étaient exclusivement ceux ayant activé les mises à jour automatiques durant cette période critique.
Heureusement, les systèmes internes de Cyberhaven, comme leurs processus CI/CD ou clés de signature de code, n’ont pas été compromis. Cependant, les utilisateurs touchés restent exposés à des risques potentiels de vol de données.
Comment se protéger des attaques de contournement 2FA ?
La prévention est clé pour contrer ces attaques complexes. L’adoption de passkeys est une solution recommandée par Google, offrant une protection renforcée contre le phishing et les attaques ciblées. Les passkeys surpassent les mots de passe traditionnels et les codes 2FA en termes de sécurité.
Les entreprises peuvent également limiter les risques en contrôlant l’accès des applications tierces via OAuth. Une liste blanche pour les applications autorisées, bien que contraignante, pourrait réduire ces vulnérabilités. Des outils de détection côté client, comme les systèmes de détection-réponse pour navigateurs, peuvent compléter ces efforts.
En réaction à cette attaque, Cyberhaven a mis à jour automatiquement son extension vers une version sécurisée (24.10.5) et a informé ses utilisateurs de vérifier leurs installations. Les entreprises doivent, de leur côté, sensibiliser leurs employés aux risques liés aux clics sur des liens d’autorisation suspects.
Vers une meilleure sécurisation des extensions Chrome
Les attaques sur les extensions Chrome montrent que la vigilance reste de mise, même pour des technologies perçues comme sûres. La combinaison d’outils robustes, de pratiques sécurisées et de sensibilisation des utilisateurs est essentielle pour limiter les menaces croissantes dans le paysage numérique actuel.
Face aux techniques de plus en plus créatives des pirates, les entreprises et les particuliers doivent continuellement adapter leurs défenses, sous peine de voir leurs données et systèmes compromis.