Attaque « polymorphique » sur Chrome : des extensions peuvent voler vos mots de passe

Les chercheurs de SquareX Labs ont découvert une vulnérabilité dans la dernière version de Chrome.

En exploitant cette défaillance, des individus malveillants peuvent mener une attaque dite « polymorphique ». En clair, ils peuvent se servir d’extensions Chrome qui vont se transformer et venir usurper l’identité d’une autre extension installée sur le navigateur, comme des gestionnaires de mots de passe.

Les chercheurs expliquent avoir « trouvé un moyen pour les extensions malveillantes d’usurper silencieusement n’importe quelle extension installée sur le navigateur de la victime ».

Dans un premier temps, une extension en apparence inoffensive est soumise sur le Chrome Web Store, le magasin d’extensions de Google.

Une fois installée sur le navigateur par l’internaute, l’extension va exploiter l’API qui permet aux extensions Chrome de gérer d’autres extensions, à laquelle elle a eu accès pendant son installation. Celle-ci contient la liste des extensions installées par Chrome, bien « que la surveillance directe d’autres extensions soit interdite par le sous-système d’extension Chrome », indique le rapport.

Si cette tactique ne fonctionne pas, les attaquants peuvent aussi « détecter la présence de ressources Web uniques associées à des extensions spécifiques connues ». Par exemple, ils vont détecter le fichier PNG contenant le logo de 1Password, ce qui « signifie probablement que le gestionnaire de mots de passe est installé » sur Chrome.

Une usurpation de l’identité de vos extensions

Avec la liste en main, les assaillants vont choisir l’identité d’une extension qui recèle de données sensibles. Dans le cadre de leurs expérimentations, les chercheurs de SquareX Labs ont opté pour un gestionnaire de mots de passe, 1Password. L’opération vise évidemment à s’emparer de tous les mots de passe de l’utilisateur.

Toujours en exploitant l’API de Chrome dédiée aux extensions, ils vont désactiver l’extension 1Password présente sur le navigateur.

En parallèle, l’extension malveillante va se métamorphoser pour prendre l’apparence de l’extension ciblée. L’icône va devenir celle de 1Password. Il s’agit d’une « réplique parfaite au pixel près de l’icône de la cible ».

L’extension pirate va alors afficher une fenêtre contextuelle sur l’ordinateur de la victime, indiquant que le compte 1Password a été déconnecté.

Persuadée d’avoir affaire à l’extension officielle, la cible va entrer ses identifiants dans l’interface. Les informations d’identification, comme le nom d’utilisateur et le mot de passe, sont alors transmises aux assaillants. Avec ces informations, ils peuvent se connecter au compte 1Password de la victime et siphonner tous ses mots de passe. Quand le vol a été perpétré, l’extension couvre ses traces. Elle reprend son apparence initiale. Par ailleurs, l’extension 1Password est réactivée.

L’internaute ne se rend compte de rien.

« Les extensions de navigateur peuvent facilement se faire passer pour des outils légitimes, mais adopter un comportement malveillant uniquement lors de leur exécution, souvent bien après leur installation », explique SquareX Labs. 

Google est prévenu, mais n’a pas encore agi

Les chercheurs de SquareX Labs ont prévenu Google de la vulnérabilité de Chrome aux attaques polymorphiques. Ils recommandent notamment d’empêcher les extensions de changer d’icône ou d’accéder à l’apparence d’autres extensions. A minima, Google devrait avertir immédiatement l’utilisateur lorsque ces changements se produisent.

Le géant de Mountain View n’a pas encore pris les mesures adéquates pour bloquer les cyberattaques de ce genre.

Pourtant, les opérations de cet acabit peuvent avoir des conséquences désastreuses sur les utilisateurs de Chrome. Des extensions peuvent voler des mots de passe, des coordonnées bancaires ou des clés privées permettant d’accéder à des portefeuilles de cryptomonnaies.

SquareX Labs