Certaines extensions de navigateurs peuvent être utilisées pour vous espionner

Publié le 21 janvier 2019

Un chercheur en sécurité a découvert que près de 200 extensions Chrome, Firefox et Opera étaient vulnérables aux attaques opérées via des sites malveillants. Ces sites exploiteraient les API des extensions pour exécuter un code malveillant à l’intérieur du navigateur et voler des informations sensibles comme l’historique de navigation, les signets ou encore les cookies. Un attaquant peut également utiliser cette méthode pour accéder aux comptes de ses cibles (boîtes de réception, réseaux sociaux, etc.) ou même déclencher le téléchargement de fichiers malveillants.

197 extensions de navigateurs incriminées

Cette découverte nous vient de Dolière Francis Somé, chercheur à l’université de la Côte d’Azur et à l’INRIA (l’Institut national de recherche en informatique et en automatique). Le chercheur a mis au point un outil avec lequel il a passé au crible plus de 78 000 extensions. Il a pu identifier 197 add-ons vulnérables qui donnaient un accès privilégié à leur API. En exploitant l’API, un site malveillant peut accéder directement aux données stockées dans le navigateur de l’utilisateur.

Résultats de Somé – EmPoWeb Empowering Web Applications with Browser Extensions

Certaines extensions vulnérables (15%) comptabilisent plus de 10 000 téléchargements. Mais une petite majorité (55%) enregistre moins de 1000 installations. Parmi ces extensions vulnérables, Somé a recensé 15 outils de développement, un type d’add-on qu’il s’attendait à retrouver dans de plus grandes proportions. En effet, en général ces outils permettent de contrôler un grand nombre de paramètres dans un navigateur.

Le danger est-il encore présent ?

Somé a alerté les éditeurs des navigateurs ciblés avant de publier son travail. Le chercheur rapporte que Mozilla (Firefox) a supprimé toutes les extensions signalées de son catalogue. Même son de cloche pour Opera où néanmoins 2 extensions vulnérables sont encore présentes.

En ce qui concerne Chrome, Somé explique que Google a reconnu ces problèmes et qu’il discutait encore avec eux [Google] sur les actions à mener : réparer les extensions ou les supprimer.

Le chercheur a en parallèle mis au point un outil en ligne permettant aux utilisateurs les plus avertis de vérifier que leurs extensions ne sont pas vulnérables.  Pour la vérification, l’utilisateur doit copier le contenu du fichier manifest.json de l’extension dans le champ dédié. Ces manipulations ne sont malheureusement pas à la portée de tous, et le risque est par conséquent encore présent pour certains utilisateurs. 

Source : EmPoWeb Empowering Web Applications with Browser Extensions via ZDNET.com