Photothèque via Getty Images
Mise à jour du 31 décembre 2024 : cet article, initialement publié le 29 décembre, comprend désormais une explication du fonctionnement de la compromission des cookies de session de contournement 2FA, des conseils d’experts en sécurité pour atténuer cette attaque et l’assistance de Google pour lire les questions de sécurité de l’extension du navigateur Chrome.
Les pirates ne prennent pas de vacances, comme le prouve une série de compromission des extensions du navigateur Google Chrome remontant à la mi-décembre et se poursuivant pendant la pause saisonnière. Voici tout ce que vous devez savoir sur les attaques en cours de contournement de l’authentification à deux facteurs de Google Chrome.
ForbesAvertissement critique Gmail : ne cliquez pas sur Oui pour ces alertes de sécurité GooglePar Davey Winder
Les dernières attaques d’extensions de navigateur Google Chrome expliquées
Bien qu’il ne s’agisse que d’une partie de ce qui semble être une campagne coordonnée et de grande envergure visant à cibler plusieurs entreprises et leurs extensions Chrome, le nombre total d’utilisateurs à risque se chiffre probablement en millions ; L’attaque contre la société de sécurité Cyberhaven mérite d’être examinée car elle explique les dangers potentiels de telles attaques, qui concernent à elles seules quelque 400 000 entreprises clientes, et donne un aperçu de la rapidité avec laquelle il est essentiel d’y répondre.
“Notre équipe a confirmé une cyberattaque malveillante survenue la veille de Noël, affectant l’extension Chrome de Cyberhaven”, a déclaré Howard Ting, PDG de la société de détection des attaques de données et de réponse aux incidents, dans une alerte de sécurité. “Nous souhaitons partager tous les détails de l’incident et les mesures que nous prenons pour protéger nos clients et atténuer tout dommage.
Avertissement ForbesDark Web Facial ID Farm : les pirates informatiques créent une base de données sur la fraude à l’identitéPar Davey Winder
L’attaque de l’extension Chrome de Cyberhaven
L’attaque contre les clients de Cyberhaven a débuté le 24 décembre lorsqu’une menace de phishing a réussi à compromettre un employé. Il est important de noter que cela incluait une compromission des informations d’identification qui permettait à l’attaquant d’accéder au Google Chrome Web Store. “L’attaquant a utilisé ces informations d’identification pour publier une version malveillante de notre extension Chrome”, a confirmé Ting. L’extension malveillante n’a été découverte que tard le 25 décembre, après quoi elle a été supprimée dans les 60 minutes.
UN enquête préliminaire L’attaque a révélé que le vecteur d’accès initial était un e-mail de phishing envoyé à l’adresse e-mail d’assistance enregistrée pour l’extension Chrome de Cyberhaven, ciblant les développeurs. Cyberhaven a mis cet e-mail à disposition afin d’avertir les autres de ce à quoi ressemble une telle attaque initiale.
L’e-mail de phishing qui a déclenché l’attaque de l’extension Cyberg=haven
Cyberhaven
Lorsque la victime a cliqué sur le lien, elle s’est retrouvée dans le flux d’autorisation de Google pour « l’ajout d’une application Google OAUTH malveillante appelée Privacy Policy Extension », a déclaré Cyberhaven. Celui-ci était hébergé sur Google.com et faisait partie du processus standard d’octroi d’accès aux applications Google tierces qui, dans ce cas, ont autorisé par inadvertance une application malveillante. “L’employé avait activé Google Advanced Protection et avait MFA couvrant son compte”, a déclaré Cyberhaven. Aucune invite d’authentification multifacteur n’a été reçue et les informations d’identification Google de l’employé n’ont pas été compromises lors de l’attaque. Une extension malveillante (24.10.4) basée sur une version antérieure propre de l’extension officielle Cyberhaven Chrome a ensuite été téléchargée sur le Chrome Store.
ForbesLe teaser d’Elon Musk Xmail constitue une nouvelle menace pour des milliards d’utilisateurs de GmailPar Davey Winder
Attaque d’extension Chrome : un contournement 2FA expliqué
Bien que l’authentification à deux facteurs reste une couche vitale dans vos protections de sécurité en matière de vérification des informations d’identification, cela ne signifie pas qu’elle est invulnérable aux attaques. Les gens supposent souvent à tort que seuls les messages texte 2FA par SMS sont susceptibles d’être interceptés et que l’utilisation d’une application d’authentification génératrice de code est la solution miracle. Bien que les applications constituent une méthode beaucoup plus efficace d’utilisation de la 2FA pour la plupart des gens et que les codes SMS soient toujours meilleurs que l’absence de protection 2FA, les attaquants peuvent toujours contourner cette couche d’authentification. En fait, ils ne le contournent pas précisément mais le clonent. Un attaquant, quelle que soit la méthode, redirigera la victime vers une page de connexion d’apparence authentique où les informations d’identification sont saisies. En ce qui concerne la partie saisie du code 2FA, en utilisant une technique d’attaquant au milieu, le cookie de session créé lorsqu’un code correct est saisi est capturé et stocké pour une utilisation ultérieure. Ce cookie fait ce qui est écrit sur la boîte, signalant cette session utilisateur comme étant dûment autorisée. Bien entendu, si un attaquant possède une copie de ce cookie, il peut alors réexécuter cette session à loisir et être toujours considéré comme l’utilisateur authentifié.
Attaque de contournement 2FA de l’extension Chrome : impact et portée
Selon Ting, l’impact et la portée des attaques de l’extension Cyberhaven Chrome sont les suivants :
La seule version de l’extension Chrome concernée était la 24.10.4, le code malveillant n’étant actif qu’entre le jour de Noël et le lendemain de Noël. Seuls les clients utilisant des navigateurs basés sur Chrome mis à jour automatiquement pendant la période de l’attaque auraient été concernés.
“Notre enquête a confirmé qu’aucun autre système Cyberhaven, y compris nos processus CI/CD et nos clés de signature de code, n’a été compromis”, a déclaré Ting.
ForbesBeware 3 février 2025—Le gang Diabolic Ransomware émet un nouvel avertissement d’attaquePar Davey Winder
Comment atténuer les attaques de contournement 2FA et répondre à l’incident de l’extension Chrome de Cyberhaven
Avec le Bureau fédéral d’enquête avertissant les gens le 30 octobre du vol de cookies de session par des cybercriminels afin de contourner les protections des comptes 2FA, il est grand temps d’être conscient et d’atténuer le risque de ces attaques. Il existe « de nombreuses protections pour lutter contre de telles attaques, y compris des clés d’accès, qui réduisent considérablement l’impact du phishing et d’autres attaques d’ingénierie sociale », a déclaré un porte-parole de Google. « Les recherches de Google ont montré que les clés de sécurité offrent une protection plus forte contre les robots automatisés, le phishing en masse. attaques et attaques ciblées que les SMS, les mots de passe à usage unique basés sur des applications et d’autres formes d’authentification traditionnelle à deux facteurs.
En ce qui concerne cette attaque spécifique, les clients concernés ont été informés par Cyberhaven, ainsi que ceux qui ne sont pas connus pour être touchés, dans un souci de transparence totale. L’extension Chrome malveillante a été supprimée du Chrome Web Store et une version sécurisée, 24.10.5, a été automatiquement déployée. “Pour les clients exécutant la version 24.10.4 de notre extension Chrome pendant la période concernée”, a déclaré Ting, “nous vous recommandons fortement de vérifier que votre extension a été mise à jour vers la version 24.10.5 ou une version plus récente.” J’ai contacté Google pour une déclaration.
ForbesLe FBI met en garde contre les attaques d’espionnage par force brute par mot de passe : ce que vous devez savoirPar Davey Winder
Ce que dit Google sur la sécurité lors de l’utilisation des extensions du navigateur Web Chrome
Benjamin Ackerman, Anunoy Ghosh et David Warren, membres de l’équipe de sécurité Chromeont fourni les conseils suivants pour rester en sécurité en ce qui concerne les extensions Chrome.
Reconnaissant, à juste titre, que comme tout logiciel, une extension Chrome peut présenter des risques ainsi que des avantages, la publication de l’équipe de sécurité de Google Chrome explique son existence avec un seul objectif : assurer votre sécurité lorsque vous installez et profitez des extensions Chrome.
Pour ce faire, l’équipe :
- Fournir aux utilisateurs un résumé personnalisé de toutes les extensions du navigateur Chrome qu’ils ont installées.
- Examiner toutes les extensions avant leur publication sur le Chrome Web Store.
- Surveiller en permanence ces extensions après leur publication.
En saisissant « chrome://extensions » dans la barre d’adresse de votre navigateur, vous verrez une liste de toutes les extensions que vous avez installées et qui pourraient potentiellement présenter un risque de sécurité. Si vous ne voyez pas ce panneau d’avertissement, bien qu’il n’y ait pas de garantie à 100 %, cela signifie probablement que vous n’avez installé aucune extension douteuse, a déclaré l’équipe de sécurité de Chrome. Le panneau d’avertissement, s’il est affiché, inclut des détails sur :
- Extensions soupçonnées d’inclure des logiciels malveillants.
- Extensions qui enfreignent les règles du Chrome Web Store.
- Extensions qui n’ont pas été publiées par un développeur, ce qui peut indiquer qu’une extension n’est plus prise en charge.
- Extensions qui ne proviennent pas du Chrome Web Store.
- Extensions qui n’ont pas publié ce qu’elles font avec les données qu’elles collectent et d’autres pratiques de confidentialité.
ForbesNouvel avertissement de sécurité Windows alors que les cyberattaques russes sont confirméesPar Davey Winder
L’équipe de sécurité de Chrome vous a également recommandé d’effectuer un contrôle de sécurité Chrome en tapant « exécuter un contrôle de sécurité » dans la barre d’adresse de Chrome, puis en sélectionnant « Accéder au contrôle de sécurité Chrome ». Cela dit, le contrôle de sécurité vous informera automatiquement s’il contient des recommandations concernant votre sécurité, mais cela ne fait jamais de mal d’être proactif si vous me le demandez.
Comment l’équipe de sécurité de Google vérifie les extensions avant leur publication sur le Chrome Web Store
“Avant même qu’une extension ne puisse être installée à partir du Chrome Web Store”, ont déclaré Ackerman, Ghosh et Warren, “nous avons deux niveaux de vérification pour garantir qu’une extension est sûre.” Le premier est un examen automatisé par lequel chaque extension du navigateur Chrome est analysée par les systèmes d’apprentissage automatique basés sur l’IA de Google pour détecter les violations potentielles ou tout comportement suspect. Vient ensuite l’examen humain, au cours duquel un membre de l’équipe de sécurité de Chrome examinera les images, les descriptions et les politiques publiques attachées à chaque extension. “En fonction des résultats de l’examen automatisé et manuel”, a déclaré l’équipe de sécurité de Chrome, “nous pourrons effectuer un examen encore plus approfondi et approfondi du code”. En 2024, Google a déclaré que moins de 1 % de toutes les installations du Chrome Web Store contenaient des logiciels malveillants. “Nous sommes fiers de ce record, et pourtant certaines mauvaises extensions continuent de passer”, a déclaré l’équipe de sécurité, “c’est pourquoi nous surveillons également les extensions publiées.”
L’équipe de sécurité de Chrome examine les extensions déjà présentes sur le Chrome Web Store et, comme pour la vérification préalable de la sécurité, cela implique à la fois des processus humains et machines. Google a déclaré qu’il travaillait également avec des chercheurs externes en sécurité, dont certains reçoivent des primes de bugs, pour rechercher et signaler les menaces potentielles de Chrome via le programme de récompenses pour la protection des données des développeurs.
ForbesPurge des données utilisateur de Google en cours : ce que vous devez savoirPar Davey Winder
Lorsqu’il s’agit d’extensions mises à jour au fil du temps, programmées pour exécuter du code malveillant ultérieurement, l’équipe de sécurité Chrome de Google fait également de son mieux pour les détecter. Cependant, comme nous l’avons vu avec cet incident, cela ne fonctionne pas toujours aussi efficacement que nous le souhaiterions ou, pour être honnête, l’attendions. Le processus implique d’examiner périodiquement ce que font les extensions et de comparer cette activité aux objectifs définis par chaque extension dans le Chrome Web Store. “Si l’équipe constate qu’une extension présente un risque grave pour les utilisateurs de Chrome”, a déclaré l’équipe de sécurité, “elle est immédiatement supprimée du Chrome Web Store et l’extension est désactivée sur tous les navigateurs sur lesquels elle est installée.” Malgré tout ce qui précède, a déclaré Google, il est toujours recommandé aux utilisateurs de Chrome de vérifier les extensions de temps en temps et d’activer le mode de protection amélioré de la navigation sécurisée, qui offre le plus haut niveau de protection de Chrome.
#Confirmation #des #attaques #contournement #2FA #Google #Chrome #des #millions #dutilisateurs #risque