Bad-Ons : des petits gadgets bien dangereux

Télécharger des vidéos et de la musique en un simple clic, augmenter la vitesse de connexion ou bloquer les publicités gênantes. Les navigateurs Firefox et Chrome sont particulièrement appréciés car il est possible d’y rajouter des fonctions complémentaires géniales en quelques clics – et ce grâce à de petites extensions Mais de nombreuses personnes ne savent pas une chose. Les extensions représentent un immense danger.

En installant une extension de navigateur, on se réjouit généralement de profiter de fonctions complémentaires astucieuses et d’options pratiques. Mais personne ne sait vraiment ce que trafiquent ces petits gadgets en arrière-plan. C’est pourquoi ils sont souvent installés de manière insouciante et sans crainte. Les utilisateurs font confiance aux sources de téléchargement apparemment « officielles » telles que « Add-Ons Manager » (Firefox) ou le Web Store de Chrome. Par ailleurs, un scanner antivirus scrute les utilisateurs en toute sécurité. Installer une extension revient à inviter chez soi une personne capable de dissimuler ses véritables intentions. Exemple d’Adblock Plus : ce logiciel de blocage de publiciés mondialement reconnu peut lire et modifier toutes les données personnelles telles que les mots de passe saisis sur toutes les pages visitées. Et comme de nombreuses autres extensions, Adblock Plus bénéficie des mêmes droits que le navigateur lui-même. Ces aptitudes en font une porte d’entrée idéale pour les chevaux de Troie sur mot de passe.

De mini-programmes aux maxi-droits

En voici l’aspect sournois : comme les add-ons ne sont « que » des extensions de programmes déjà installés, ils peuvent être ajoutés en un simple clic – même les droits d’administrateur ne sont pas nécessaires. Par ailleurs, en tant qu’extension d’un programme principal, elles ne sont ni bloquées par le pare-feu Windows, ni passées au crible par le scanner antivirus. Google semble en être parfaitement conscient. Au final, le fabricant de Chrome souligne que la vie privée n’est pas en sécurité lorsque des extensions sont activées. Seul le « mode Incognito » qui revient à surfer de manière anonyme empêche toutes les extensions du navigateur de fouiner. La conclusion est évidente que l’utilisateur est exposé au risque d’espionnage en mode normal ou qu’il y a déjà eu des cas où des extensions ont exploité des failles de sécurité.

Attendre le jour X

Jusqu’à présent, seules quelques attaques de ce type sont connues. Il est plus que probable que tôt ou tard, les cybercriminels emprunteront de plus en plus cette voie. Il leur suffirait par exemple de s’emparer d’une extension populaire disposant de tous les droits. Un intérêt particulier est accordé au code écrit en langage de programmation JavaScript. Ils peuvent s’y infiltrer pour télécharger des données. Une fois la faille trouvée, le code peut être manipulé. Les criminels injectent un code malveillant et contrôlable à distance via un faux domaine aussi similaire que possible à celui du fabricant.  Le « bad-on » est prêt. Les criminels laisseraient alors le script contenu dans l’extension en « mode veille » pour que celui-ci passe totalement inaperçu et ne soit pas découvert. Ensuite , les malfrats n’auraient plus qu’à répandre la version falsifiée de l’extension, par exemple sous forme de téléchargement via des pages Internet. Les criminels en ligne n’auraient alors plus qu’à attendre. Une fois l’extension installée par de nombreux utilisateurs, ils se remettraient en action en passant l’extension en mode « agressif ». Quelques minutes suffiraient pour s’approprier d’innombrables identifiants de connexion. Après avoir dérobé un butin suffisant, ils n’auraient plus qu’à désactiver à nouveau la fonction de protocole et à dissimuler le déroulement des événements.

La banque en ligne dans le viseur

Il est sûr que le jeu en vaudrait la chandelle. Même les normes de sécurité élevées telles que le SSL et le TSL seraient inefficaces. De cette manière, il serait possible de dérober les identifiants de connexion de chaque compte Internet. Il serait même possible de s’attaquer à la banque en ligne. L’extension pourrait envoyer un TAN non à la banque mais au serveur des criminels. Avec les identifiants et le TAN, rien ne pourrait empêcher de réaliser un virement conséquent sur le compte des malfrats. Même les meilleurs programmes de sécurité seraient désemparés devant ce mode opératoire. Car lorsqu’un utilisateur se connecte à un service Internet et que le cheval de Troie est activé, les données de connexion sont consignées en parallèle dans un fichier central qui peut être lu immédiatement après. Les scanners antivirus sont ici impuissants car ils ne détectent aucun signe de manipulation.

Pour contrecarrer les extensions

Même si cela ne garantit pas une sécurité absolue, en tant qu’utilisateur, vous pouvez vous protéger de la sorte :

  • Installez uniquement les extensions des sources de téléchargement les plus sûres possibles telles que « Add-Ons Manager » (Firefox) ou le Web Store de Chrome.
  • N’installez pas trop d’extensions dans le navigateur, uniquement les principales. Sinon, cela réduit la performance mais augmente également le risque d’attaques.
  • Si une extension installée nécessite soudainement une nouvelle autorisation, vous devez tirer la sonnette d’alarme.

Sinon, vous pouvez aussi faire appel aux fabricants de navigateurs. Ils doivent s’assurer que les extensions contactent uniquement certains serveurs. Cela permettrait d’éviter que les crackers ne téléchargent des codes malveillants via des serveurs tiers.

Cet article est également disponible en: AnglaisAllemandItalien